7-10日病毒预报：小心“霸e族” 谨防“千足虫”变种

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在今后4日的病毒中“代理木马”变种ho、“霸e族”、“千足虫”变种cp、“Flash蛀虫”、“IE劫匪”变种a、“雅虎窃贼”变种g、“狐狸洞69712”和“网游盗号木马61440”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“代理木马”变种ho是“代理木马”木马家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用微软MS-06014漏洞传播其它病毒。“代理木马”变种ho一般内嵌在正常网页中，如果用户计算机没有及时升级修补相应程序模块的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种ho的恶意网页时，就会在当前用户计算机的后台连接骇客指定的远程服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、有害程序、后门等，给用户带来不同程度的损失。

◆“霸e族”间谍类木马家族的最新成员之一，采用VC编写，并经过加壳保护处理，是由其它病毒释放出的DLL病毒组件，一般被释放到Windows系统目录下。“霸e族”变种bw运行后，修改注册表，实现该木马开机自动运行，致使在运行某些程序时会自动加载“霸e族”变种bw，隐藏自我，防止被查杀。在被感染计算机系统的后台秘密监视用户打开的窗口标题，一旦发现用户进行在线交易便记录用户的键盘操作和鼠标操作，窃取用户在网上进行在线交易的信息、个人注册信息、用户名、密码等私密数据，并将窃取的用户信息保存为文件，以邮件的形式发送到骇客指定的远程服务器上，给用户带来极大的损失。另外，“霸e族”变种bw还会记录网络和邮件帐户信息，给用户带来不同程度的损失。

◆“千足虫”变种cp是“千足虫”家族的最新成员之一，采用VC++ 6.0编写， 并经过加壳保护处理。“千足虫”变种cp运行后，会在被感染计算机系统的“%SystemRoot%\system32\com\”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”，还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件文件“dnsq.dll”。利用驱动程序来恢复SSDT Hook，使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染)，感染后的程序变为16位的图标，图标变模糊，类似于马赛克。一旦发现与安全相关的窗口存在，强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体，并且对这些文件进行实时检测保护，利用移动设备进行传播。破坏注册表，致使用户无法进入“安全模式”、无法查看隐藏的系统文件，致使注册表启动项失效。修改注册表，实现开启自动播放的功能。强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术，将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护，一旦病毒文件被删除或被关闭，便马上生成并重新运行。以系统级权限运行，部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了重启移动文件的技术，在重新启动计算机时会把病毒主程序体移动存在到系统[启动]文件夹中，实现开机自启动。“千足虫”变种cp会在被感染计算机系统的后台访问骇客指定的广告站点，进行提升访问量，刷网络排名等操作。另外，“千足虫”变种cp还可以自升级。

◆“Flash蛀虫”变种是“Flash蛀虫”脚本病毒家族的成员之一，采用javascript脚本语言和Flash脚本语言编写，并且代码经过加密处理，利用“Adobe Flash Player”漏洞传播其它病毒。“Flash蛀虫”变种一般内嵌在正常网页中，如果用户计算机没有及时升级安装“Adobe Flash Player”提供的相应的漏洞补丁，那么当用户使用浏览器访问带有“Flash蛀虫”变种的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“IE劫匪”变种a是“IE劫匪”感染型病毒家族的最新成员之一，采用高级语言编写。“IE劫匪”变种a运行后，在被感染计算机系统的临时文件夹下释放3个病毒文件并加载运行。修改hosts文件，阻止用户对某些安全站点的访问。遍历被感染计算机的磁盘，感染除某些指定程序以外的绝大部分*.exe文件。一旦用户运行了被感染的*.exe文件，“IE劫匪”变种a与真实文件一起运行，使用户无法察觉到病毒的存在。由于感染的文件众多，用户计算机一旦感染了该病毒，很有可能无法清除干净。在被感染计算机系统的后台连接骇客指定站点，下载恶意程序。其中，所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等，给被感染计算机用户带来不同程度的损失。另外，“IE劫匪”变种a还可能会感染某些指定目录下的*.asp文件和*.htm文件，利用这些文件进行网页挂马。

◆“雅虎窃贼”变种g是“雅虎窃贼”木马家族的最新成员之一，采用VB 6.0编写，并且经过加壳保护处理。“雅虎窃贼”变种g运行后，会自我复制到“%SystemRoot%\system32\”目录下，重新命名为“syschost.exe”。修改注册表，实现木马开机自动运行。自我复制到“%SystemRoot%\”目录下，重新命名为“sysinfo.exe”，并将文件属性设置为：系统、隐藏、存档。在被感染计算机系统的后台利用HOOK等技术盗取即时通讯工具“雅虎通”和“雅虎网站”用户的登陆帐号、登陆密码等资料，并在被感染计算机后台将窃取到的这些信息发送到骇客指定的远程服务器站点上，给用户带来损失。

◆“狐狸洞69712” 从来都没有百分百安全的软件。只要一款软件产品有足够多的用户，病毒作者们便会专注地挖掘它的漏洞。Firefox 浏览器就是这样被病毒作者们盯上的。本篇预警播报中的病毒正是一个利用Firefox 浏览器漏洞进行攻击的恶意文件。

这个病毒进入系统后，会在系统中释放出两个随机命名的病毒文件，分别为%WINDOWS%\目录下的.exe格式文件和%Temporary Internet Files%\Content.IE5\C4DGV5NI\目录下的.cmt文件。并修改注册表启动项，实现开机自启动。

在安装有Firefox 的系统里，存在一些用于处理专用协议数据的协议处理器。如果上网时系统遇到了无法处理的数据，就会在Windows注册表中搜索适当的协议处理器，向其传送相关数据，实现处理。不过，由于在这个过程中不会有任何安全过滤，病毒便可以借机获得操作权限，向firefox.exe 进程指定任意参数。

此病毒会连接病毒作者指定的远程服务器，等待黑客的下一步指令。由于病毒已取得全部的操作权限，这意味着黑客将可以在用户电脑中执行任何他想要的操作。

◆“网游盗号木马61440” 此病毒属于一个比较老的木马家族，但它的变种一直层出不穷。此篇预警播报中的变种在技术上与以前的版本没有什么不同，但它所袭击的电脑数量却较高。毒霸反病毒工程师认为这与它借助对抗型下载器传播有一定关系。

病毒进入用户电脑后，在系统盘中释放出两个病毒文件，分别是%WINDOWS%\目录下的fmsjhif.exe，以及%WINDOWS%\system32\目录下的fmsjhif.dll，前者是病毒主文件，会被写入注册表启动项，以实现自动启动。而后者是用来执行盗号工作的文件。

当成功运行起来，病毒就搜索《热血江湖》、《魔兽世界》和“游戏茶苑大厅”的进程，将fmsjhif.dll注入其中，读取帐号和密码信息。然后发送给病毒作者指定的地址。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报