金山6月第3周病毒预报:“毒蛆”吃掉防火墙窃取机密

【51CTO.com 综合报道】2008年6月16日，金山毒霸全球反病毒监测中心发布周（6.16-6.22）病毒预警，上周“Flash特务”大肆行凶，端午小长假期间感染量剧增，本周Flash漏洞依然是病毒制造者利用的焦点，同时用户也需警惕“毒蛆”作恶。这是一个木马风险程序，它会破坏防火墙，窃取用户电脑中的敏感信息并发送给病毒作者，另外，它还会破坏用户计算机系统内的一些应用程序、数据库、压缩文件、图片、文档等，并弹出大量广告网页，给用户带来极大困扰。

金山毒霸反病毒专家李铁军表示，“毒蛆”病毒近来出现较多变种，并且破坏能力较强，在窃取用户机密的同时，还具有随机破坏用户计算机系统内的应用程序、数据库、压缩文件、图片、文档等文件的功能。一旦它执行了破坏命令，用户就将遭遇无法估计的损失。在发作的最后，它还会修改IE浏览器的数据，使得IE弹出大量的广告网页，这些行为十分烦人和恶心。

李铁军分析指出，病毒进入系统后，首先释放出自己的病毒文件。它的文件有两个，分别是%WINDOWS%\System32\目录下的ntos.exe和%WINDOWS\system32\wsnpoem\目录下的audio.dll，并将它们写入系统注册表，实现开机自启动。然后修改注册表，破坏系统中已安装了的防火墙程序，以便自己能任意连接外部网络。在这个过程中，目前市面上常见的几款防火墙都会被破坏，接着病毒就在被感染的计算机上搜索各种看上去像帐号和密码的信息，以及电脑名称、用户的真实IP地址等信息，把它们全部发送给病毒作者。这些信息一旦到了病毒作者的手中，就会被用于更多的非法用途。

据了解，本周内广大电脑用户除了“毒蛆”（Win32.Troj.Zbot.54784）需要警惕之外，还需要特别警惕“木马零件155648”（Win32.Troj.KillAv.ae.155648）与“恶毒战士2007”（Win32.RiskWare.MalWarrior.g.208896）两大病毒。前者属于一个盗号木马家族。它会关闭一些安全软件的进程，然后盗号。这批木马分工明确，会针对不同的游戏采用不同的盗号方式；后者是一个诈骗钱财的间谍软件，它伪装为杀毒软件，骗取用户点击。当它当运行起来，就会下载大量的病毒到系统中，然后假装查杀出很多病毒，要用户缴费激活软件杀毒。