20日病毒预报:高度警惕木马病毒

2008-09-28　源自:　网友评论 0 条　进入视频教程

【itFensi.com 综合报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意“针孔下载器196608”、“魔塔”变种bqr 、“砸波”变种bwn 和“鸽子控制下载器1069056”在明天的病毒中，都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“魔塔”变种bqr 威胁级别：★★

该病毒是“魔塔”蠕虫家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“魔塔”变种bqr运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32”目录下，重命名为“mmdmm.exe”，并添加为启动项，实现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。在被感染计算机的后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。与骇客指定的服务器站点建立网络连接，骇客可通过“魔塔”变种bqr远程控制被感染的计算机，可执行的恶意操作包括：文件操作，进程操作，注册表操作，服务操作，键盘记录，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。“魔塔”变种bqr会试图利用共享文件夹进行局域网内的传播。另外，“魔塔”变种bqr还具有自我删除的功能，以便消除痕迹。

◆“针孔下载器196608” 威胁级别：★★

该病毒是一个下载器程序。它会下载大量木马文件到系统中运行。同时，该毒具有较强的对抗杀软功能，还能穿透还原软件，对网吧等用户危害较大。它一进入系统，就会检查是否存在ProtectC.sys、XsMenu.exe、GuardField等还原保护软件，如发现，就利用自己的驱动文件突破它们的防御。从这点来看，毒霸反病毒工程师认为该毒的主要目标是网吧等局域网用户。病毒自带有一个比较庞大的劫持名单，里面包括了金山毒霸、赛门铁克、瑞星、卡巴斯基等很多常见安全软件厂商的产品，病毒会尝试映像劫持它们。如果劫持成功，这些安全软件就会瘫痪，当用户试图运行它们时，只可能不断激活病毒体而已。当顺利解除了用户电脑系统的防御，这个下载器便悄悄连接到病毒作者指定的远程地址，下载一份下载列表，根据其中的地址去下载更多其它病毒文件。经毒霸反病毒工程师分析，它所引入用户电脑的大部分病毒都是网游盗号木马。

◆“鸽子控制下载器1069056” 威胁级别：★

该病毒进入系统后，把自己的副本EntMian.Exe复制到系统盘的%WINDOWS%目录下，并将其写入注册表服务项，让自己实现开机自启动。随后，它从注册表中读取用户电脑的区域设置信息，然后等待远程服务器的指令。在此期间，它还会下载一份下载列表，根据其中的地址下载更多别的木马程序。完成以上步骤后，病毒就生成出一个uninstal.Bat文件，用它来删除自己的原始文件，防止用户发现自己电脑中出现多余的文件。另外，此毒会利用感染系统中正常exe文件来进行传播。

◆“砸波”变种bwn 威胁级别：★★

该病毒是“砸波”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“砸波”变种bwn运行后，在“%SystemRoot%/system32/”目录下创建木马文件“ntos.exe”，在“%SystemRoot%/system32/wsnpoem/”目录下释放病毒文件“audio.dll”。修改注册表，实现木马开机自动运行。将病毒代码注入到除“CSRSS.EXE”以外的所有进程中调用运行，隐藏自身，躲避安全软件的查杀。采用Rootkit技术挂钩系统函数，隐藏病毒文件，保护病毒文件不被复制、删除。破坏数款防火墙程序，极大地降低了被感染计算机上的安全性。在后台秘密监视被感染计算机系统的网络通信内容，窃取其中的私密信息并发送给骇客，给用户的计算机安全和个人隐私造成威胁。另外，“砸波”变种bwn还能从骇客指定的服务器地址下载邮件地址列表，利用自带的SMTP引擎群发垃圾邮件。