5.1-5.4日病毒预报：预防ARP 小心木马作案

　　51CTO安全频道今日提醒您注意：在5.1假期的病毒中“玛格尼亚”变种cfw、“ARP杀手”变种a、“Iframe溢出者”变种ac、“魔兽”变种ata 、“代理木马”变种aeit、“机器狗”变种、“Real蛀虫”变种z、网游窃贼”变种ackj、“窗户窟窿下载器”、“网游盗号木马94208”、“风火恶贼”、“疯狂下载者”和“Win32/Cutwail.DS”都值得关注。

　　一、5.1期间高危病毒简介及中毒现象描述：

　　◆“玛格尼亚”变种cfw是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种cfw运行后，在“%SystemRoot%help”目录下释放组件“F3C74E3FA248.dll”。修改注册表，实现木马开机自动运行。采用HOOK技术和内存截取技术，在被感染计算机的后台秘密监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种cfw还会在被感染的计算机上下载更多的恶意软件、网游木马，给网络游戏玩家带来非常大的损失。

　　◆“ARP杀手”变种a是“ARP杀手”木马家族的最新成员之一，该木马是一个恶意的磁盘过滤驱动程序，采用C语言编写，未经过加密处理，一般以系统服务的方式来运行。当“ARP杀手”变种a被安装启动后，病毒主程序会利用“ARP杀手”变种a去破坏被感染计算机磁盘中的系统文件，绕过“还原保护系统”，破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。“ARP杀手”变种a属于恶意程序集合中的一个功能模块，伴随着该木马程序模块还会有很多其它恶意程序模块一起安装到了被感染计算机的系统中。一旦用户计算机感染了该类病毒，那么很难彻底清除干净，给被感染计算机系统的用户带来不同程度的损失。

　　◆“Iframe溢出者”变种ac是“Iframe溢出者”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ac一般内嵌在正常网页中，如果用户没有及时升级修补搜索工具条软件相应的漏洞补丁，那么当用户使用浏览器访问带有“Iframe溢出者”变种ac的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，用户一旦打开带有“Iframe溢出者”变种ac的恶意网页时，还会弹出广告窗口，干扰用户的正常工作和上网。

　　◆“魔兽”变种ata是“魔兽”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“魔兽”变种ata运行后，在被感染计算机的“%SystemRoot%system32”目录下释放病毒组件和恶意驱动程序。该驱动程序利用高级ROOTKIT技术隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机的系统后台盗取网络游戏《魔兽世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《魔兽世界》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。用户计算机系统一旦感染该病毒，则很难清除干净。另外，“魔兽”变种ata还可以查找并强行关闭多款安全软件，极大地降低被感染计算机的安全性。

　　◆“代理木马”变种aeit是木马家族的最新成员之一，采用C语言编写，一般以系统服务的方式来运行。“代理木马”变种aeit运行后，破坏被感染计算机磁盘中的系统文件，绕过“还原保护系统”，破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。“代理木马”变种aeit属于恶意程序集合中的一个功能模块，伴随着该木马程序模块还会有很多其它恶意程序模块一起安装到了被感染计算机的系统中。一旦用户计算机感染了该类病毒，那么很难彻底清除干净，给被感染计算机系统的用户带来不同程度的损失。

　　◆“机器狗”变种是蠕虫家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“机器狗”变种是被其它病毒程序感染的“explorer.exe”系统桌面程序，开机后随系统的启动而加载运行。“机器狗”变种运行后，首先判断被感染计算机的“%SystemRoot%system32dllcache”目录下是否有“explorer.exe”系统桌面备份程序文件。如果存在，则直接调用运行；如果不存在，在后台连接骇客指定站点，下载压缩后的系统桌面程序“e.jpg”，保存为“%SystemRoot%system32dllcacheexplorer.exe”并调用运行。在被感染计算机系统的后台连接骇客指定远程服务器站点“http://12*.2**.5.*/”，下载恶意程序“x.exe”并自动调用安装运行。其中，所下载的恶意程序“x.exe”可能为网络游戏盗号木马、木马下载器、蠕虫等，给用户带来不同程度的损失。

　　◆“Real蛀虫”变种z是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种z一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种z的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

　　◆“网游窃贼”变种ackj是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种ackj运行后，将DLL组件程序插入到被感染计算机系统的“explorer.exe”等进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《QQ华夏》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《QQ华夏》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

　　◆“窗户窟窿下载器”这个下载器体积非常小，它利用网页挂马和感染VBS文件等方式来进行传播的。在顺利进入用户系统后，它会搜索系统中是否未安装MS06-014补丁，如果没有安装，那么病毒就可以利用WINDOWS系统的Microsoft Data Access Components (MDAC) 漏洞实现启动，在后台悄悄连接病毒作者指定的地址http://www.ley***8.cn/。

　　当连接成功，病毒就会开始下载其它病毒程序，这个过程与其它的木马下载器无异。被下载的病毒程序会被保存到用户电脑系统的临时目录中，名称为5713.exe。

　　随后，该文件自动启动，释放出大量木马程序和间谍软件，盗窃用户系统中有价值的数据资料。

　　◆“网游盗号木马94208”这是一个原理简单的盗号木马，大部分安全软件都可以查杀它，但毒霸反病毒工程师们发现，该木马近来在多个对抗型下载器的下载列表中频繁出现，因此发出预警。提醒大家注意。

　　病毒进入系统后，枚举系统上进程，查找系统桌面进程explorer.exe ，将病毒文件 注入其进程空间，在其中隐蔽运行，并进一步搜索《问道》、《破天一剑》、《剑侠情缘2》、《魔兽世界》等多个网络游戏和《浩方》网络对战平台的进程。如有发现，则展开全局监视，注入到游戏内存中，读取帐号和密码。

　　盗窃成功后，病毒便在后台悄悄连接病毒作者指定的网址，将赃物上传，给用户造成虚拟财产的损失。

　　习惯手动查杀的用户，可以在系统盘中找到该病毒释放出的病毒文件，分别为%WINDOWS%目录下的病毒主文件MsIMMs32.exe，以及%WINDOWS%system32目录下，用于执行盗号动作的MsIMMs32.dll。其中，主文件的数据会被写入系统注册表，以实现自动运行。

　　◆“风火恶贼”该病毒为盗窃网络游戏“风火之旅”账号的木马。病毒运行后，复制自身到%WinDir%下，衍生病毒文件huifitc.dll到%System32%下；添加启动项，以达到随机启动的目的；病毒试图通过全局挂钩把huifitc.dll注入到所有进程中，遍历所有进程，发现有fjlogin.exe进程，便注入其中并监视其进程，通过截获当前用户的键盘和鼠标消息以获取网络游戏“风火之旅”的账号及密码，发送到病毒作者指定的URL；该病毒在实现完自身代码后，会结束自身进程，删除自身文件。由于该病毒采用的是将病毒文件插入到系统进程中，所以不易发现。给普通用户清理病毒带来一定的困难。

　　◆“疯狂下载者”该病毒为蠕虫类，病毒运行后，在%Systme32%下衍生病毒文件atielf.dat；当用户连接Internet时，将读取atielf.dat信息进而获取病毒列表文件bl.txt的URL，从而下载bl.txt并读取其信息下载病毒文件在本机运行；通过给当前系统内执行的进程拍快照，来判断是否存在AVP.exe进程，存在便通过API函数"SetSystemTime"修改系统时间为2001年，月、日不变，以使卡巴斯基过期失效。新增注册表项，映像劫持多款安全软件，以降低系统的安全性；此病毒完全执行自身代码后，会结束自身进程、删除自身、删除衍生的驱动文件，病毒还会随机启动；由于该蠕虫下载的病毒数量很多，给用户清理病毒带来一定的难度。

　　◆Win32/Cutwail.DS是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件，将它们保存到磁盘或者注入其它的程序。同时，这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

　　Cutwail运行时生成%Windows%System32main.sys文件。

　　病毒危害：

　　下载并运行任意文件；

　　发送大量的邮件；

　　Rootkit 功能。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。