17日病毒预报：脚本病毒在作恶 谨防大胃王盗号者

　　一、明日高危病毒简介及中毒现象描述：

　　◆“Real蛀虫”变种w是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种w一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种w的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

　　◆“泡泡”变种ai是“泡泡”后门家族的最新成员之一，采用高级语言编写，并经过加壳处理。“泡泡”变种ai运行后，自我注入到被感染计算机系统的“iexplore.exe”和“winlogon.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现后门开机自动运行。窃取被感染计算机系统中的配置信息（如MAC地址、操作系统版本、用户名等），并将窃取的这些信息发送到骇客指定的远程服务器站点上。躲避某些防火墙的监控；终止某些安全软件的服务，在被感染计算机系统的后台终止系统报错服务，大大降低被感染计算机上的安全性。另外，“泡泡”变种ai还可以自升级。

　　◆“热血江湖盗号者94304”病毒作者为提高病毒制作的效率，通常都会使用自动生成器。完全一样的一段病毒代码，只要稍微修改几个进程名称，就能得到多个病毒。我们在3月27日的病毒预警播报中，曾报道过一个英文名称与本篇预警中的病毒相同的“天龙笨贼”，它们两个很明显就是由同一个病毒生成器制作出来的同名变种。

　　这个木马通过悄悄记录用户输入数据的方式盗取网络游戏《热血江湖》密码。它用户系统中运行起来后，会通过查找窗口类名与窗口标题名的方法，找到《热血江湖》的游戏进程Client.exe，然后检验进程的命令行，确认是否真的为作案目标。如果确定，它就会立即关闭游戏进程。

　　大多数正在玩着游戏的用户，遇到这种情况，一定是马上重新登录游戏。但这样一来，就正好中了病毒作者的全套。他的目的就是趁用户再次登录时，记录下用户输入的帐号和密码。

　　为阻止安全软件查杀，病毒在进入电脑后会抢先关闭360安全卫士、QQ医生、killer_Gdwli32.exe专杀工具、AntiArp.exe防火墙等安全辅助软件，它的某些变种还会试图攻击毒霸，不过经检验，对毒霸无效。习惯手动查杀的用户，可在系统盘的%WINDOWS%system32目录下找到病毒文件xjxr.dll、xjxr.cfg，以及mseion.sys。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-gameshackt-gu-94304-50534.html

　　◆“大胃王盗号者57344”这个盗号木马的作案目标非常之广，所有在进程窗口中包含有“游戏”字样的网络游戏，都是它的作案对象，只要它能在用户电脑中顺利运行起来，便可以如同大胃王一般将用户电脑中的游戏帐号悉数吞吃。

　　病毒在进入系统后立即在系统盘中释放出两个病毒文件，分别为%WINDOWS%目录下的winform.exe和%WINDOWS% emp目录下的winform.dll。其中winform.exe是病毒的主文件，它的相关数据会被写入系统注册表，以实现开机自启动。而winform.dll则负责注入系统桌面进程，在其中查找进程窗口中带有“游戏”字样的程序，如果发现，就注入游戏的内存空间，读取帐号和密码数据。习惯手动查杀的用户，请留意这两个文件，只要删除它们，再清理干净注册表，就能清除该毒了。

　　作案成功后，帐号信息会被发送到病毒作者指定的地址，给用户造成虚拟财产的损失。不过由于技术含量不高，大部分安全软件都可以查杀它。不过，由于此类病毒近日出现频率较高，因此发出预警，向广大用户作为通报。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/pe-win32-pswtroj-onlinegames-ai-57344-50535.html

　　◆Win32.SillyDl.EBH是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。

　　Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、金山、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰为51CTO安全频道提供病毒信息。