4日病毒预报：密切注意“网银窃贼”小心“下载器”

　　安全频道今日提醒您注意：在明天的病毒中“网银窃贼”变种hzt、“视频宝宝”变种dbk、“机器狗变种53248”、“万能木马下载器”、“秘密记录员”和“exe文件尾巴”都值得关注。

　　一、今日高危病毒简介及中毒现象描述：

　　◆“网银窃贼”变种hzt是“网银窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网银窃贼”变种hzt随着IE浏览器的启动而加载运行，监控用户在IE浏览器中所执行的一切操作。在被感染计算机系统的后台窃取用户登陆所有网站时使用的帐号、密码及网站地址等详细信息，并将这些信息保存到相应的记录文件中，定时发送到骇客指定的远程服务器站点上或邮箱里，给用户带来极大的损失。

　　◆“视频宝宝”变种dbk是“视频宝宝”木马家族的最新成员之一，采用VB语言编写，并经过加壳保护处理。“视频宝宝”变种dbk运行后，自我复制到被感染计算机系统的指定目录下。修改注册表，实现木马开机自动运行。在被感染计算机系统的各个盘符根目录下创建

　　“autorun.inf”文件和木马主程序文件，实现双击盘符启动“视频宝宝”变种dbk运行的目的。连接骇客指定的远程服务器站点，下载其它恶意程序并在被感染计算机上自动调用执行。在被感染计算机系统的后台连接指定的投票站点，增加指定站点的访问量或进行虚假投票等操作。另外，“视频宝宝”变种dbk不仅利用U盘、移动硬盘等移动设备进行传播，而且可以自升级。

　　◆“机器狗变种53248”病毒进入系统后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%\system32\目录下的winsrv32.dll，以及%WINDOWS%\system32\\drivers\目录下的ati32srv.sys。其中的ati32srv.sys特别值得注意，因为病毒会将它的相关数据写入注册表，恢复系统的SSDT表，这样就可能导致杀毒软件的“主动防御”和“自我保护”功能失效。

　　接着，病毒以极快的速度继续修改系统注册表，对大量的杀毒软件和安全辅助软件实施印象劫持，造成它们失效。对于那些不需经过注册表就能使用的绿色安全产品，病毒也采取监视系统进程的方式来阻止其运行。由于病毒的“黑名单”极为庞大，几乎目前所有的杀毒软件及安全辅助软件都会“牺牲”。

　　完成以上步骤后，病毒悄悄连接http://xxx.w**ala.info/c**hi/、ttp://xxx.f**liu001.info/c**hi/、ttp://a.x**yige.com/等多个由木马种植者指定的网址，获取最新的病毒下载列表，然后根据列表上的地址去下载大量其它木马至用户计算机运行，引发更多无法估计的系统安全问题。

　　◆“秘密记录员”病毒会在系统盘中释放出五个病毒文件，分别为%WINDOWS%目录下的mwinsys.ini、%WINDOWS%\system\目录下的AlxRes070826.exe、%WINDOWS%\system32\inf\目录下的scrsys070826.scr和scrsys16_070826.dll，以及%WINDOWS%\system32\目录下的winsys16_070826.dll和winsys32_070826.dll。另外，如果用户系统中有D盘，病毒会在D盘根目录下生成一个名为myplayer.com的病毒文件。

　　文件释放完毕后，病毒将自己的相关数据写入系统注册表启动项，让自己能随系统桌面进程Explorer.exe一起启动。如果能成功启动，病毒就会查找并关闭金山毒霸、卡巴斯基、360安全卫士等安全软件，并禁止任务管理器启动。

　　随后，病毒在系统中查找IE浏览器的进程iexplore.exe、腾讯TT浏览器的进程TTraveler.exe，以及遨游浏览器的进程maxthon.exe进程，如果有则创建远程线程注入其中。同时，它监视用户的QQ聊天信息，将其记录后保存记录到本地。最后，该病毒会打开系统后门，等待木马种植者（黑客）的远程连接。

　　如果黑客成功入侵用户系统，除能查看到用户QQ聊天记录外，还可以进行任何其想要的操作，这可能给用户带来无法估计的威胁和麻烦。

　　◆“万能木马下载器”该病毒目前十分猖獗，自身原有的破坏性外，原要下载大量其它病毒。该病毒运行后复制自身并覆盖系统文件userinit.exe。这样不但病毒每次随机启动，且使用户无法查觉该启动项已变成了加载病毒的启动项。病毒加载后将病毒ntfs.dll插入到系统打印服务进程spoolsv.exe中，以spoolsv.exe进程连接网络下载其它病毒。有如此的隐蔽连接网络方式外，还有关闭360安全卫士主程序进程360Safe.exe，上报模块进程360rpt.exe和ARP功能模块进程AntiArp.exe。以使360安全卫士检测不到此病毒信息。该病毒在下载其它病毒前，首先读取下载列表，然后依照下载列表进行文件下载。下载完成后下载的病毒文件在本机运行，会占用大量系统资源。下载的病毒达30个之多，且此文件列表和列表对应的病毒随时可以更新，这使同一下载器，每次下载的可能是不同的病毒。下载的病毒还能继续下载其它病毒程序，致使用户电脑一旦中此病毒后，随后会不断的下载病毒体运行。用户电脑中此病毒后常会出现机器死机，网络瘫痪等现象。用户在发现自己电脑过慢时，就一定要先检测是否已被此类病毒感染了。

　　◆“exe文件尾巴”病毒运行后会衍生病毒文件%System32%\Com\lsass.exe，%System32%\Com\smss.exe。在各个驱动器盘符下添加AUTORUN.INF启动文件，和pagefile.pif执行文件,在双击盘符时，病毒文件便会执行。最恶劣的病毒行为是该病毒会感染除系统盘符外的所有EXE文件，在EXE文件最后写入病毒代码。如想清除此病毒，必需将所有感染的EXE文件最后的病毒代码摘除，并且进行修复。可见该病毒的清除比一般的病毒要困难的多。用户如发现在%System32%\Com目录下如有lsass.exe与smss.exe两个文件存在，那么就一定要检测一下系统，是否被该“exe文件尾巴”感染。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、金山、安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、和安天为51CTO安全频道提供病毒信息。