23-25日病毒预报：周末慎防木马病毒下载恶意程序

2008-09-28　源自:　网友评论 0 条　进入视频教程

【itFensi.com 综合报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意：在23-25日的病毒中“Trojan/PSW.Delf”变种cto、“移情机”变种bt、“尼拉葛”变种cvz、“代理木马”变种in、“QQ抢劫犯”变种afi、“萨德纳”变种c、“劫持犯”变种by和“小不点”变种aepc都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“Trojan/PSW.Delf”变种cto 危险级别：★★

该病毒是“Trojan/PSW.Delf”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“Trojan/PSW.Delf”变种cto运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32”目录下，重命名为“erere.exe”，并添加为系统服务，实现木马开机自动运行。启动“iexplore.exe”进程，将恶意代码注入其中调用运行，隐藏自身，躲避安全软件的查杀。查找并强行关闭某些安全软件，极大地降低了被感染计算机系统的安全性。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《征途》玩家的登陆账号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在被感染计算机后台将窃取到的玩家信息发送到骇客指定的远程服务器站点上，致使《征途》游戏玩家的游戏账号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“Trojan/PSW.Delf”变种cto还会在被感染计算机上下载更多的恶意程序、网游木马等，给网络游戏玩家带来非常大的损失。

◆“移情机”变种bt 危害等级：★

该病毒是“移情机”木马下载器家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“移情机”变种bt运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32”目录下，重命名为“CbEvtSvc.exe”，并添加为系统服务，实现木马开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。在被感染计算机的后台连接骇客指定站点，下载大量的恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，“移情机”变种bt还具有自我删除的功能，以便消除痕迹。

◆“尼拉葛”变种cvz 危险级别：★★

该病毒是“尼拉葛”木马家族的最新变种之一，采用高级语言编写，并经过添加保护壳处理。“尼拉葛”变种cvz运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32/drivers/”目录下，重命名为“windf.EXE”（文件属性为系统、隐藏），并在同一目录下释放文件“windf.hlp”（文件属性为系统、隐藏）。修改注册表，实现木马开机自动启动。遍历被感染计算机上的进程列表，查找被感染计算机上的安全软件，一旦发现便强行将其关闭，极大地降低了被感染计算机系统的安全性。在后台秘密监视用户打开的窗口标题，一旦发现用户打开网络游戏的登陆窗口便记录用户的键盘操作，盗取《风之国度》、《地下城与勇士》、《冒险岛》等多种流行网络游戏玩家的账号、密码、装备等重要游戏资料，给玩家带来极大的损失。另外，“尼拉葛”变种cvz还能从骇客指定的服务器上下载更多的恶意程序并在被感染的计算机上自动运行，给用户带来进一步的危害。

◆“代理木马”变种bgxk 危险级别：★★

该病毒是“代理木马”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“代理木马”变种bgxk是由某个木马释放出来的，一般被注入到系统进程中加载运行，隐藏自身，躲避安全软件的查杀。“代理木马”变种bgxk运行后，在“%SystemRoot%/MayaBaby/”目录下释放“MayaBabySYS.dat”恶意驱动程序。将病毒代码注入到系统进程“smss.exe”中运行，隐藏自身，防止被查杀。加载恶意驱动程序“MayaBabySYS.dat”来恢复系统SSDT，致使部分安全软件的监控功能失效。查找并强行关闭大量流行的安全软件，致使用户计算机系统毫无安全保障。在被感染计算机的后台连接骇客指定站点，下载大量的恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“QQ抢劫犯”变种afi 危险级别：★★

该病毒是“QQ抢劫犯”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“QQ抢劫犯”变种afi运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32/”目录下，重命名为“NTsys.exe”。修改注册表，实现木马开机自动运行。破坏数款防火墙程序，查找并强行关闭某些安全软件，还可能会通过修改系统时间使某些安全软件失效，极大地降低了被感染计算机系统的安全性。在被感染计算机的后台秘密监视用户的操作以及窗口标题，当用户登陆QQ或者申请QQ密码保护时，利用HOOK技术以及内存截取技术窃取用户输入的内容，盗取QQ密码，并将用户的账号、密码等机密信息发送到骇客指定的远程服务器中，给用户造成一定的损失。另外，“QQ抢劫犯”变种afi还具有自我删除的功能，以便消除痕迹。

◆“劫持犯”变种by 危险级别：★★

该病毒是“劫持犯”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“劫持犯”变种by运行后，在被感染计算机系统的“%SystemRoot%/system32/”目录下释放组件“MsWinBox.exe”。自我注册为系统服务，实现木马开机自动运行。在“%SystemRoot%/system32/drivers”目录下释放恶意驱动文件，覆盖系统文件“beep.sys”并加载运行。该驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的。将恶意代码注入到“explorer.exe”进程中运行，隐藏自身，躲避安全软件的查杀。另外，“劫持犯”变种by还会与骇客指定的服务器建立网络连接，侦听骇客指令，骇客可通过“劫持犯”变种by远程控制被感染计算机系统，严重威胁用户计算机信息安全。

◆“小不点”变种aepc 危害等级：★

该病毒是“小不点”木马下载器家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“小不点”变种aepc是由某个木马释放出来的DLL组件，一般被注册为系统服务，实现木马开机自动运行。“小不点”变种aepc运行后，在被感染计算机系统指定目录下释放恶意驱动程序并加载运行，恶意驱动程序可以还原系统SSDT，致使某些安全软件的监控功能失效。启动“iexplore.exe”进程，并将恶意代码注入其中运行，这样可以隐藏病毒程序，躲避安全软件的查杀。查找并强行关闭某些安全软件，通过映像劫持禁止大量安全软件的运行，极大地降低了被感染计算机系统的安全性。搜索被感染计算机上*.htm、*.asp、*.php、*.aspx的文件，利用这些文件进行网页挂马。连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“网银窃贼”变种iby 危险级别：★★

该病毒是“网银窃贼”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“网银窃贼”变种iby运行后，将自身的文件属性设置为“系统、隐藏”。将自身添加为启动项，实现木马开机自动运行。在被感染计算机系统后台秘密监视用户打开的窗口标题，监视用户的键盘和鼠标操作，一旦发现用户打开指定的网络银行页面时，很可能会显示虚假网络银行登陆界面，诱导用户输入自己的账号和密码，窃取用户输入的账号、密码、网站地址等信息，并将窃取到的机密信息记录为文本文件，以邮件的形式发送给骇客，从而达到盗取用户网络银行账号及密码的目的。另外，“网银窃贼”变种iby将自身的图标伪装成网页文件的图标，诱骗用户点击运行。

◆“莱基gqn” 威胁级别：★★★

该病毒为木马类，病毒运行后会在后台运行病毒本身，自动连接网络，连接远端地址，试图下载插件到本机运行。由于病毒连接的服务器或者是域名解析错误等某种原因，连接的下载地址的和广告页面没能实现。在连接过程中如发现连接不成功，会不断的更换本地端口进行重新连接。

◆“托马pix” 威胁级别：★★★★

该病毒是后门型病毒，病毒图标为"HTML Document"类型，以迷惑用户点击运行病毒。病毒运行后，衍生病毒文件rapimgr.exe、utilty.exe到系统目录%System32%下；新增注册表项，创建服务ClientService，病毒服务启动的映像路径指向utilty.exe；创建服务RMTCS，病毒服务启动的映像路径指向rapimgr.exe；用来当任意用户登陆系统时运行病毒文件rapimgr.exe、utilty.exe。该病毒在执行完自身代码后，会结束自身进程，删除自身。受感染用户可能会被操纵进行Ddos攻击、远程控制、机密信息丢失、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。