25日病毒预报：“斯瑞波”变种来袭 当心代理木马

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“斯瑞波”变种d、“代理木马”变种hz和“Win32/Crushpy”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“斯瑞波”变种d是“斯瑞波”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“斯瑞波”变种d运行后，在被感染计算机系统“%SystemRoot%\system32\drivers”目录下释放恶意驱动程序“grande48.sys”并加载运行。将“grande48.sys”注册为系统服务，实现木马开机自动运行。该病毒的独特之处在于病毒的功能完全由“grande48.sys”在内核中实现。“grande48.sys”采用高级Rootkit技术编写而成，隐藏自身在磁盘上的文件、隐藏注册表中与自身有关的键值，并删除日志文件，致使用户难以发现。连接骇客指定的服务器，下载有效的邮箱地址，利用被感染计算机发送大量垃圾邮件。隐藏自身所有的网络活动，躲避某些防火墙程序及安全软件的监测，大大降低被感染计算机上的安全性。另外，“斯瑞波”变种d在Windows安全模式下也会被加载运行，一旦用户计算机系统感染该病毒，则很难清除干净。

◆“代理木马”变种hz是“代理木马”木马家族的最新成员之一，采用javascript脚本语言编写，并且经过多层不同种类算法的加密处理，利用微软MS-06014漏洞传播其它病毒。“代理木马”变种hz一般内嵌在正常网页中，如果用户计算机没有及时升级修补相应程序模块的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种hz的恶意网页时，就会在当前用户计算机的后台连接骇客指定的远程服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、有害程序、后门等，给用户带来不同程度的损失。

◆Win32/Crushpy是一族特洛伊病毒，显示机器被间谍软件感染的虚假信息。病毒变体可能以UPX格式加壳。
Win32/Crushpy变体经常在网页上显示安装audio-codec，如果用户选择安装这个codec，特洛伊就会下载到机器上。
运行时，Win32/Crushpy 在运行的目录中 （例如 C:\）生成"sbms.exe" 和"sbmdl.dll" 文件，并修改以下注册表，为了在每次系统启动时运行病毒文件：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\start = "c:\sbms.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\some = "c:\sbms.exe"

病毒危害：
安装其它恶意软件；
修改注册表设置件。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、冠群金辰为51CTO安全频道提供病毒信息。

【相关文章】

• 更多病毒日报

• 更多病毒周报