11日病毒预报：木马家族添新丁 ARP病毒很凶猛

　　一、明日高危病毒简介及中毒现象描述：

　　◆“代理木马”变种ba是“代理木马”木马家族的最新成员之一，采用VBS脚本语言编写。“代理木马”变种ba运行后，自我复制到各个盘符根目录下并在各个盘符根目录下创建文件AutoRun.inf（文件属性设置为隐藏），达到双击盘符启动“代理木马”变种ba运行的目的。修改注册表，实现木马开机自动运行。破坏注册表，致使用户无法查看隐藏文件。每隔一段时间自动关闭命令提示符窗口、任务管理器、注册表编辑器、系统配置实用程序以及被感染计算机上某些安全软件，大大降低了被感染计算机上的安全性。修改注册表，更改*.txt、*.hlp、*.reg、*.chm等文件的文件关联为病毒体，致使用户打开这些类型的文件时先执行“代理木马”变种ba。遍历磁盘内所有文件，感染*.hta、*.htm、*.html、*.asp文件，利用这些文件进行网页挂马。

　　◆“QQ大盗”变种dbx是“QQ大盗”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“QQ大盗”变种dbx运行后，在被感染计算机系统盘下释放驱动文件。修改注册表，将该驱动文件注册为BHO（浏览器辅助对象），实现木马开机自动运行。在后台秘密监视用户打开的窗口标题，一旦发现用户打开QQ登陆窗口便记录键击，窃取用户的QQ用户名和密码，给用户带来极大的损失。

　　◆“ARP蜗牛745472”ARP病毒最令人无法忍受的地方就是它对网速的影响。整个局域网中，只要有一台电脑中了ARP，其余电脑的网速都会被拖后腿，严重时甚至会死机。本则预警播报所介绍的就是这样一个病毒。

　　该病毒进入用户系统后，释放文件、并修改系统注册表实现自动运行。当它成功运行后，会欺骗局域网内所有主机和路由器，向它们发送大量垃圾信息，并冒充成网关，让所有上网的数据都必须经过中毒电脑。

　　在这个过程中，由于其他用户原来是直接通过路由器上网，而现在转由通过病毒主机上网，那么在切换的时候就会断一次线。等再连接上后，网速就会越来越慢，直到掉线。给用户的使用造成极大不便。

　　喜欢手动杀毒的用户，可在系统盘中找到病毒释放出的五个病毒文件，分别为%WINDOWS%system32目录下的packet.dll、wanpacket.dll、wpcap.dll，以及%WINDOWS%Cache目录下的Arpmm.exe，还有%WINDOWS%system32drivers目录下的npf.sys。另外需告知大家的是，该病毒具备自我删除功能，运行完毕后，它就会自我删除，使得用户难以找到它。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-trojdownloader-delf-745472-50523.html

　　◆“VBS自动木马下载器11164”这一个VBS格式的网页病毒，主要功能是下载木马程序。它的基本原理并不复杂，但因为能够通过网页挂马和AUTO传播的方式进行扩散，大面积传播的趋势较高。

　　病毒进入电脑后，立即释放病毒文件“.vbs”到系统盘的%WINDOWS%system32目录和%WINDOW%system32wbem目录下。注意，这个“.vbs”是没有名字的，这可以作为识别它的特征。

　　接着，病毒修改系统时间至2003年，致使卡巴斯基等依赖系统时间来进行激活和升级的杀毒软件失效。当然，如果你的电脑中有其它软件也是依赖系统时间的，那它们也会受到影响。与此同时，病毒会搜索连接到中毒电脑上的所有存储设备，比如U盘和本地硬盘，在它们的根目录中创建autorun.inf文件，实现自动播放功能。这样一来，它就能够在各种存储设备之间自由地传播，不断扩大传染范围。

　　毒霸反病毒工程师在病毒代码中发现一个名为http://2**3.cn/x*W/X1.ASP的网址，经检验，这是病毒作者指定的远程服务器。病毒会悄悄连接它，下载其它木马文件，以“.exe”的名称隐藏到%WINDOWS%system32目录下运行，引发更多无法估计的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/vbs-autorun-al-11164-50522.html

　　◆“变种下载者”该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随系统引导病毒体。病毒体自动连接某服务器下载病毒体到本机运行，下载的病毒体主要为网络游戏盗号程序，并扫描本机 IP所属的网段139端口，试图利用网络共享传播自身。值得注意的是，此病毒大量存在于利用最近的微软的ANI漏洞构造的图片与脚本中。收集用户的 MAC 地址信息发送到下列 ASP 页面：http://www.1*d*m.com/***tai/***u94/***nt/***nt.asp该病毒主要是通过用户访问不知名网站进行传播。

　　◆“古老的派送器”该病毒运行后，从某互联网地址下载病毒病毒体到本机运行，并添加注册表自动运行项与系统服务项、修改 LSP ，以达到随系统启动的目的。通过内建的 SMTP 蠕虫程序连接到互联网 SMTP 服务器，获得需要伪造的邮件信息，进而大量发送垃圾邮件，严重占用网络资源。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、金山、安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸和安天为51CTO安全频道提供病毒信息。