25日病毒预报：BHO劫持者在作怪 当心AV变种

　　一、明日高危病毒简介及中毒现象描述：

　　◆“BHO劫持者”变种q是“BHO劫持者”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“BHO劫持者”变种q运行后，自我复制到被感染计算机系统的“%SystemRoot%system32”目录下，重命名为“cftmon.exe”，并在相同目录下释放病毒组件“mshyta16.dll”。修改注册表，实现木马开机自动运行。在后台秘密监视浏览器窗口，一旦发现用户登陆某些在线交易站点，便显示虚假登陆窗口，诱导用户输入在线交易的账号、密码，或者重新打开一个IE浏览器窗口，以安全为由诱导用户输入账号、信用卡密码等重要信息，窃取用户输入的机密信息并发送给骇客，从而给用户带来非常大的损失。另外，“BHO劫持者”变种q还会连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

　　◆“威金”变种azy是“威金”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“威金”变种azy是由“威金”病毒主体释放出的病毒组件，用于插入“explorer.exe”、“iexplore.exe”等进程实现病毒主要功能以及隐藏自我，躲避查杀。查找并强行关闭大量安全软件，阻止某些安全软件的运行，大大地降低了被感染计算机的安全性。利用密码字典破解弱密码，访问网络共享文件夹，感染网络共享文件夹下的*.exe文件，实现网络共享传播。在被感染计算机的后台下载大量恶意软件并自动运行。这些恶意软件可窃取《魔兽世界》、《征途》等多款网络游戏木马，造成玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

　　◆“AV终结者变种106496”AV终结者又一次成为了毒霸反病毒工程师们注意的目标。在近日统计的病毒传播趋势资料中，AV终结者的一个变种显得十分活跃，这也许与有人故意进行传播有关。

　　该病毒进入系统后执行的操作，与以前的版本基本无异，都是先释放出病毒文件，然后修改系统注册表实现自动启动，并紧接着执行映象劫持，将用户系统中安装的安全软件弄瘫痪，以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件，隐藏在%WINDOWS%根目录下。

　　为防止用户进行手动查杀，病毒修改注册表中的相关数据，使中毒电脑无法显示隐藏的文件和系统文件，这样一来，当病毒把自己伪装成系统文件并设置隐藏模式后，用户就无法找到它们。同时，病毒还会禁止用户进入安全模式和打开注册表编辑器，以便长久地在电脑中驻留下去。并且，病毒会在每一个磁盘分区的根目录下生成一个explorer.exe文件和AUTORUN.INF文件，当用户在中毒电脑上使用U盘等移动存储设备时，病毒就会趁机将其感染。

　　最后，病注入系统桌面进程和其它非系统进程中，隐蔽地运行自己，从病毒作者指定的地址下载大量盗号木马，将用户系统中有价值的信息盗窃一空，引发无法估计的损失。

　　◆“恶心莲蓬下载器”这个病毒是一个木马下载器的变种。它在系统中运行起来后，会释放出数量惊人的病毒文件，这些病毒文件都集中在系统盘中，其中大部分位于%windows%system32目录下。如果用户看到那长长的文件列表，并饱尝该毒的伤害，会觉得像看了近来网上流行的“莲蓬图”一般恶心。

　　在释放文件的同时，病毒会感染硬盘中全部的的.exe、.htm、html文件，并删除%windows%system32目录下的系统补丁文件verclsid.exe，让自己接下来的破坏更顺利。接着，病毒替换掉%windows%目录下的系统桌面进程explorer.exe。

　　在病毒释放出的若干文件中，%windows%system32目录下的75132.dat和%windows%system32目录下的urjuujdw.hew，值得注意。这两个进程相互配合，指挥%windows%system32目录下的msosdohs00.dll和%windows%system32目录下的msosdohs01.dll插入系统核心进程、explorer.exe进程以及包括安全软件在内的所有应用程序进程。执行破坏还原保护、关闭防火墙、破坏系统监视软件、阻止用户进入桌面、安装恶意插件等动作。

　　最后，病毒链接病毒作者指定的远程地址，下载27个病毒文件。其中包括由0至25的数字命名的exe文件，以及一个名为oko.exe的文件。经毒霸反病毒工程师的分析，这些文件都是盗号木马，如果成功进入电脑，将引起无法估计的更大损失。

　　此外，病毒还在硬盘各个分区的根目录下生成AUTO病毒MSDOS.BAT和autorun.inf，当用户在中毒电脑上使用移动存储设备时，就传染上去，实现更大规模的传播。如果用户运行MSDOS.BAT，病毒就会悄悄访问病毒作者指定的地址http://58.*3.1*8.37，下载大量病毒。

　　◆“红色贝壳”该病毒属木马类，病毒运行后检测进程列表是否存在贝壳磁盘保护系统的进程BKPCLIENT.EXE、MENU.EXE，若有则结束；复制文件%Windir%explorer.exe文件到%System32%目录下，关闭资源管理器进程explorer.exe后启动%System32%explorer.exe；从文件头部开始对%Windir%explorer.exe文件写入病毒代码497664个字节，重新启动机器后被感染的文件%Windir%explorer.exe将复制自身到%Windir%目录下，更名为svchost.exe，由svchost.exe文件调用%System32%explorer.exe；连接网络下载病毒文件列表，并根据病毒列表下载病毒文件并运行，下载病毒更新配置文件。

　　◆“qq大盗”该病毒属盗QQ帐号木马。病毒运行后复制自身到%Program Files%InternetExplorerPLUGINS下，重命名为WinSys8k.Sys与Sys_Win7s.Jmp，使其属性设置为隐藏，使用户不易发现，添加HOOK启动项，添加注册表启动项，以达到开机自启动目的，关闭自动更新，建消息钩子，使多个进程加载释放的病毒文件WinSys8k.Sys，查找 Tencent_QQBar 和 Tencent_QQToolBar这两个窗口，获得QQ用户的帐号信息并发送到指定邮箱。

　　◆Win32.SillyDl.EBM是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。

　　Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

　　建议：

　　不要随意运行EXE文件；

　　系统设置强壮的管理员口令。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。