【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“Real蛀虫”变种aa、“网游窃贼”变种aeox、“漏洞脚本下载器6039”、“QQ尾巴广告器4096” 、“传奇木马”、“疯狂下载者变种gkm”和“Win32.SillyDl.EDL”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“Real蛀虫”变种aa是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种aa一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种aa的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“网游窃贼”变种aeox是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种aeox运行后，自我插入到被感染计算机的系统“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《QQ华夏》游戏玩家的游戏帐户、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《QQ华夏》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“网游窃贼”变种aeox还具有反部分安全软件的功能，防止被安全软件监视和查杀，大大降低被感染计算机上的安全性。

◆“漏洞脚本下载器6039” 对于具有系统安全漏洞的电脑而言，即便安装有安全软件，也有可能被病毒攻破。就如同房子的墙壁破了个洞，你在门口拴再怎么凶猛的狗，贼也一样进得来。

本篇预警中的病毒就是一个利用系统安全漏洞实施破坏行为的恶意脚本。这个病毒体积非常小，可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现缺陷。当它发现电脑系统中存在该漏洞时，就可以利用该漏洞绕开系统安全模块，擅自调用IE浏览器的进程，连接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic，下载多个伪装成.jpg格式图片文件的病毒，存放到系统盘根目录和系统临时文件夹中。

经毒霸反病毒工程师检查，下载的病毒主要是盗窃敏感数据的盗号木马，以及黑客后门，它们如果成功进入电脑并运行起来，将给用户造成更大的麻烦和带来无法估计的损失。

◆“QQ尾巴广告器4096” 由于传播速度快、传播成本低、难以被追踪，利用QQ等即时聊天工具进行传播已经是不少病毒优先选择的传播途径。在毒霸反病毒工程师近日捕获到的病毒中，就又出现了QQ病毒的身影。

这个病毒实际上是个刷流量的木马，如果它成功进入系统，就会修改注册表中关于IE浏览器的数据，使得浏览器自动登录HTTP://WWW.****44.COM、http://www.****3344.com、http://www.****u-1.com等由病毒作者指定的网页，为这些网页“贡献”流量。

而为了实现最大规模的传播，它每隔几分钟就搜索用户是否启动了QQ进程，如果有，则在用户不知晓的情况下，读取用户的好友列表，向好友们发送含有挂马网页链接的消息，诱惑好友点击。如果点击进去，会发现就是以上的那几个网页，并且被病毒乘机传染好友的电脑。

这个病毒在运行完毕后会自我删除原始文件，干扰用户查杀。不过习惯手动杀毒的用户仍然可以通过病毒释放出的文件找到它。病毒文件主要有系统盘根目录下的d.exe、d1.exe，以及%Temporary Internet Files%\Content.IE5\2PF3QNZE\目录下的ddos1[1].htm、uniq[1].htm、ddos[1].htm。

◆“传奇木马”该病毒为传奇世界游戏盗号木马，病毒运行后复制自身并衍生DLL文件到%Windir%目录下，分别重命名为49400L.exe、49400WL.DLL，病毒运行后调用CMD命令自我删除，将病毒文件49400WL.DLL注入到Explorer.exe系统进程；添加注册表项，以达到随机启动的目的；遍历查找游戏窗口woool.dat，通过截获用户的键盘和鼠标消息获取“传奇世界”的账号和密码，读取游戏目录里的..\user.ini配置文件,获取用户所在游戏服务器的相关信息，通过URL发送到木马种植者指定的接收网址。

◆“疯狂下载者变种gkm” 该病毒为木马下载者病毒，病毒运行后获取系统文件夹路径，释放驱动文件到%system32%\drivers\目录下，重命名为uuid.sys，等待加载驱动成功后将该驱动文件删除，加载urlmon.dll调用urldownloadtofileaAPI函数，并隐藏创建IExplorer.exe进程写入224字节数据连接网络下载文件，将下载后的文件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录下，重命名为：update.exe，并自动运行该病毒文件，衍生病毒DLL文件到%Windir%目录下并重命名为：linkinfo.dll并将其注入到Explorer.exe进程中，创建BAT文件删除自身，生成驱动文件%SystemRoot%\system32\drivers\ IsDrv118.sys (加载后删除)，并调用ZwSetSystemInformation加载驱动，病毒通过检查是否是在VMWare下运行，如果是直接关闭虚拟机，以此来防止自己在虚拟机中被运行，从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件，病毒在感染时，不感染"QQ"、"winnt"和"windows"目录下的程序文件，通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口，使该驱动在加载时失败，枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件，尝试连接时使用"Administrator"作为用户名。

◆Win32.SillyDl.EDL是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。