11日病毒预报：又是木马，盗号木马

2008-09-28　源自:　网友评论 0 条　进入视频教程

【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意：在明天的病毒中“偷盗者snxy”、“AV终结者”、“斯莱德”变种eg和“小狗”变种aao都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆ “偷盗者snxy”（Trojan-GameThief.Win32.OnLineGames.snxy）：该病毒为盗梦幻西游online游戏账号的木马，病毒运行后查找%System32%目录下的Verclsid.exe，找到将其删除，衍生病毒文件“mttwfh.dll”到%System32%目录下，添加注册表注册病毒CLSID值及HOOK启动项，遍历进程搜索“AVP.exe”，如找到则释放winsYs.reg文件，用来添加病毒HOOK启动项，如找不到“AVP.exe”进程，释放tf0文件到%System32%目录下，调用API对注册表添加病毒HOOK项，等待添加病毒HOOK项完毕后将tf0文件删除，调用LoadLibraryA将病毒DLL加载到进程，试图将病毒DLL文件注入除smss.exe、csrss.exe、winlogon.exe外的所有进程，衍生的DLL文件主要功能：通过截获当前用户的键盘和鼠标消息以获取游戏的账号及密码，发送到病毒作者指定的URL。

◆“AV终结者”（Trojan.Win32.KillAV.ww）：该病毒下载者木马类，病毒运行后调用API获取系统文件夹路径，在%System32%目录下创建病毒文件adfbaa.exe（随机病毒名），并加载创建该病毒进程，遍历进程查找是否存在以下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%/drivers/目录下的beep.sys文件删除，并创建一个同名的文件，释放驱动文件恢复SSDT使卡巴主动防御失效，衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗号木马，给用户清理带来极大的不便！

◆ “斯莱德”变种eg（Trojan/Slefdel.eg）：它是“斯莱德”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“斯莱德”变种eg运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32”目录下，重命名为“servet.exe”。自我注册为系统服务，实现木马开机自动运行。可能会启动“IEXPLORE.EXE”进程并将病毒代码注入其中调用运行，隐藏自我，躲避安全软件的查杀。修改注册表，降低被感染计算机的安全设置。强行篡改被感染计算机上的系统时间，致使某些安全软件失效。查找并强行关闭大量安全软件以及安全辅助工具，极大地降低了被感染计算机上的安全性。在被感染计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。在被感染计算机的移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件（文件属性设置为“系统、隐藏”），达到双击盘符启动“斯莱德”变种eg运行的目的，从而利用U盘、移动硬盘等进行自我传播。另外，“斯莱德”变种eg还具有自我删除的功能，以便消除痕迹。

◆“小狗”变种aao（Trojan/Puper.aao）：它是“小狗”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“小狗”变种aao运行后，在被感染计算机系统盘的“/Program Files/Web Technologies/”目录下释放病毒文件“wcs.exe”、“wcm.exe”、“wcu.exe”，均进行过加壳处理。修改注册表，实现木马开机自动运行。“小狗”变种aao在被感染计算机上安装成功后会自动删除。数个病毒程序同时运行，相互保护，导致用户无法关闭病毒程序。强行篡改注册表，降低被感染计算机的安全设置。弹出虚假下载安全软件的对话框，无论用户点击“是”或者“否”都会连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“小狗”变种aao还能自升级。