8日病毒预报：“U盘寄生虫”新变种 盗号木马在行动

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“U盘寄生虫”变种ahh、“紫萝卜”变种izo、“病毒组合模块8192”、“后门小广告327680”、“奇迹窃贼”、“完美木马变种”和“Win32.SillyDl.EDB”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“U盘寄生虫”变种ahh是“U盘寄生虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“U盘寄生虫”变种ahh运行后，在被感染计算机系统的根目录下释放一个恶意驱动文件“zzz.sys”。感染系统文件“spoolsv.exe”，向其写入可执行代码，实现“U盘寄生虫”变种ahh开机自启。删除被感染计算机系统中的“QQDoctorMain.exe”和“QQDoctor.exe”（QQ医生程序文件），达到自我保护的目的。关闭某些安全软件，防止被查杀。在被感染计算机系统的后台调用IE浏览器进程，利用系统IE进程连接骇客指定远程服务器站点“http://www.*zfw*.c*/Config.txt”，获取其它恶意程序的下载地址列表，然后下载列表中的所有恶意程序，并自动调用安装运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。在所有盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件，达到双击盘符启动“沃忒客”变种d运行的目的，具有利用U盘、移动硬盘等存储设备进行自我传播的功能。另外，“U盘寄生虫”变种ahh可能会在后台感染用户计算机系统中的可执行文件和网页文件等。

◆“紫萝卜”变种izo是“紫萝卜”木马下载器家族的最新成员之一，采用VC++ V7.0-8.0编写，并经过加壳处理。“紫萝卜”变种izo运行后，在被感染计算机后台连接骇客指定站点“http://bo*.gr*b*k*.com/exe.php?ex=6*82”，下载恶意程序并在被感染计算机上自动调用运行，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。强行篡改IE浏览器设置，降低被感染计算机的安全性。另外，“紫萝卜”变种izo很可能与骇客指定的服务器建立网络连接，侦听骇客指令，进一步威胁用户计算机信息安全。

◆“病毒组合模块8192” 很多病毒都包含有不止一个的病毒文件，当所有文件都凑齐的时候，病毒的破坏能力就会达到最大。此篇预警播报中介绍就是某病毒的一个模块。

这个模块随着完整的病毒文件进入系统后，会搜索并感染系统中的DLL格式文件，只要用户运行了需要调用该DLL文件的程序时，该模块便会被激活，在%WINDOWS%\目录下搜索一个名为ObjHelpr32.txt的文本文件。

经毒霸反病毒工程师分析，这个ObjHelpr32.txt文件是一份病毒下载列表。如果这个模块顺利找到该文件，它就会启动病毒的另一个模块，根据列表中的地址执行下载任务，将更多其它病毒引到用户电脑中运行，引发更多的麻烦。

◆“后门小广告327680” 病毒进入电脑后，将自身文件Boercservice.exe和Boercservice.dll拷贝到%WINDOWS%下，同时，释放多个文件到系统的临时目录，也就是%Temp%目录下，如krnln.fne、krnln.fnr等等。值得注意的是，Boercservice.exe这个文件会伪装成Flash播放器的图标，迷惑用户。

病毒的作案过程与其它大部分的黑客程序相近，它会将主文件Boercservice.exe写入启动项，实现开机自启动，然后把DLL文件注入系统桌面进程IEXPLORE.exe中，搜索IE浏览器的窗口，控制它弹出病毒作者指定的广告网页，给广告网页“贡献”出流量。

但仅仅是弹射广告的话，还不足以威胁用户的系统安全。该病毒真正可恶之处是它会悄悄建立后门，等待病毒作者（黑客）的连接。如果黑客进入用户系统，就可以进行任何他想要的操作。

◆“奇迹窃贼”该病毒为奇“奇迹世界游”戏盗号木马类，获取系统文件夹路径，复制自身到%Windir%目录下，重命名为yuiabct.exe，并衍生病毒文件到系统目录%system32%下；重命名为yuiabct.dll；遍历进程查找Explorer.exe进程，如找到后将病毒文件yuiabct.dll插入到该系统进程；添加注册表项，以达到随机启动的目的；调用DeleteFileA函数删除病毒自身，判断病毒文件是否注入到Sungame.exe、wow.exe、GtSaloon.exe进程.如是则开始进行盗号操作通过URL发送到木马种植者指定的接收网址。

◆“完美木马变种”该病毒为盗窃网络游戏“完美世界”账号的木马。病毒运行后，复制自身到%WinDir%下，衍生病毒文件tciocp64.dll到%System32%下；添加启动项，以达到随机启动的目的；病毒试图通过全局挂钩把tciocp64.dll注入到所有进程中，查找“完美世界”的游戏窗口标题名称“zelementclient window”，监视用户操作的键盘和鼠标消息以获取网络游戏“完美世界”的账号及密码，发送到病毒作者指定的URL。该病毒在实现完自身代码后，便会结束自身进程，删除自身文件。

◆Win32.SillyDl.EDB是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报