8月1日病毒预报：当心DNS变色龙谨防机器狗变种

2008-08-07　源自:　网友评论 0 条　进入视频教程

【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意：在明天的病毒中“DNS变色龙”变种fuo、“代理木马”变种im、“机器狗变种53248”和“武装广告下载器72711”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“DNS变色龙”变种fuo是“DNS变色龙”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“DNS变色龙”变种fuo运行后，自我复制到被感染计算机系统的“%SystemRoot%/system32”目录下，重命名为“hgqhp.exe”，并将其添加为启动项，实现木马开机自动运行。启动“explorer.exe”和“iexplore.exe”进程，将恶意代码注入其中运行，隐藏自身，躲避安全软件的查杀。强行篡改DNS设置，降低被感染计算机上的安全设置，可能导致被感染计算机无法正常连接网络等。在被感染计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，“DNS变色龙”变种fuo具有自我删除的功能，以便消除痕迹。

◆“代理木马”变种im是“代理木马”木马下载器家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用“联众世界”中某ActiveX控件栈溢出漏洞以及“Real Player媒体播放器”漏洞传播其它病毒。“代理木马”变种im一般内嵌在正常网页中，如果用户计算机没有及时升级修补“联众世界”以及“Real Player媒体播放器”相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种im的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“机器狗变种53248” 此下载器的原始文件进入系统后，释放出病毒文件ctfmon.exe到系统盘%WINDOWS%/目录下，另外两个文件Upack.exe和ctfmon.exe会被释放到系统盘根目录下。然后，它判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE（贝壳磁盘保护）2个进程，如不存在，就写驱动穿还原系统。

然后，病毒把系统桌面进程explorer.exe复制到系统盘根目录中，命名为tempdat.dat，再将自己的数据写入原来的explorer.exe中，这样，它就可以随着桌面的启动而自动运行起来。

当成功运行起来，此毒便连接指定的远程地址，下载一份病毒列表，根据其中的地址，下载更多其它木马到%WINDOWS%/system32/目录下运行，下载一个运行一个。这就造成系统资源逐渐被吞噬，电脑运行越来越慢。

毒霸反病毒工程师检查后发现，它所下载的木马，大部分是盗号器，可能对用户的虚拟财产构成威胁。另外，由于ctfmon.exe这个病毒文件与系统的托盘区拼音图标文件同名，可能会给用户构成迷惑。

◆“武装广告下载器72711” 该病毒会将自身scvhosL.exe复制到%WINDOWS%/system32/drivers/目录中，并设置文件属性为 “系统|隐藏|只读”，再以 .EXE（文件名为空）为文件名，将自身拷贝到每个盘的根目录，并写入一个autorun.inf文件，实现利用AUTO自动传播。

除自我复制外，它还会搜索并感染系统中的exe文件。如果中毒机器在局域网内，病毒将以administrator空口令刺探其它电脑，利用共享文档来传播自身。

另外，为了对抗杀软，病毒作者准备了一份清单，上面有目前主流的一些杀软在注册表启动项中的值。病毒只要根据它，删除这些数值，就可以令杀软瘫痪。

最后，病毒解密自带的一个.txt文件，读取里面的网址，下载恶意程序并执行。根据毒霸反病毒工程师的检查，它所下载的是一个广告木马程序。这个木马会将用户的IE浏览器自动登录到一个指定的网页地址，为它刷流量。