木馬大集合 注意保護密碼

摘要：51CTO安全頻道今日提醒您注意：在周末的病毒中“卡拉蜜”變種aar、“酷臉”變種t、“網(wǎng)游竊賊”變種iyo、“系統(tǒng)殺手”變種dj、“QQ詐騙犯”變種b、“蒼蠅賊”變種dz、“魔獸”變種auj、“IMG-WMF漏洞利用者”都值得關注。

獨家報道51CTO安全頻道今日提醒您注意：在今后3天的病毒中“卡拉蜜”變種aar、“酷臉”變種t、“網(wǎng)游竊賊”變種iyo、“系統(tǒng)殺手”變種dj、“QQ詐騙犯”變種b、“蒼蠅賊”變種dz、“魔獸”變種auj、“IMG-WMF漏洞利用者”變種l都值得關注。

一、明日高危病毒簡介及中毒現(xiàn)象描述：

Packed.Krap.aar“卡拉蜜”變種aar是“卡拉蜜”木馬家族中的最新成員之一，采用高級語言編寫，并且經過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL功能組件，通過修改注冊表來實現(xiàn)木馬開機的自動運行?！翱ɡ邸弊兎Naar運行后，一般會被注入到系統(tǒng)桌面程序“explorer.exe”等幾乎所有用戶級權限的進程中加載運行，在被感染計算機系統(tǒng)的后臺執(zhí)行惡意操作，隱藏自我，防止被用戶發(fā)現(xiàn)、被安全軟件查殺?！翱ɡ邸弊兎Naar運行時，在被感染計算機的后臺秘密監(jiān)視正在運行的所有窗口標題，一旦發(fā)現(xiàn)標題中存在與安全相關的字符串(如“安全警報”、“網(wǎng)頁”)，便會強行向其進程循環(huán)發(fā)送垃圾消息，試圖使其出錯關閉或自動退出，達到自我保護的目的。

“卡拉蜜”變種aar是一個盜取“PlayOnline”網(wǎng)絡游戲會員賬號的木馬程序，會在被感染計算機的后臺秘密監(jiān)視用戶系統(tǒng)中所運行著的所有應用程序窗口標題，然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網(wǎng)絡游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊取到的玩家機密信息發(fā)送到駭客指定的遠程服務器站點上(地址加密存放)，致使網(wǎng)絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家?guī)聿煌潭鹊膿p失。同時，該木馬還會竊取用戶“雅虎通(Yahoo! Messenger)”和“Yahoo奇魔”的賬號信息資料，并在后臺發(fā)送到駭客指定遠程服務器站點上。另外，“卡拉蜜”變種aar還可進行自我升級。

Worm/Koobface.t“酷臉”變種t是“酷臉”蠕蟲家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫，并且經過加殼保護處理?！翱崮槨弊兎Nt運行后，會自我復制到被感染計算機系統(tǒng)的“%SystemRoot%\”目錄下，重新命名為“bolivar22.exe”，并創(chuàng)建配置文件“fmark2.dat”。獲取當前計算機系統(tǒng)的配置信息，發(fā)送到駭客指定的站點上。“酷臉”變種t運行時，會在被感染計算機系統(tǒng)的后臺連接駭客指定的遠程服務器，下載惡意程序并自動調用運行。其中，所下載的惡意程序可能為網(wǎng)絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等，會給用戶帶來不同程度的損失?！翱崮槨弊兎Nt可能具有自我傳播的功能，主安裝程序執(zhí)行完畢后會進行自刪除。另外，“酷臉”變種t會修改系統(tǒng)注冊表，實現(xiàn)開機的自啟動。

TrojanSpy.OnLineGames.iyo“網(wǎng)游竊賊”變種iyo是“網(wǎng)游竊賊”木馬家族中的最新成員之一，采用高級語言編寫，并且經過加殼保護處理。“網(wǎng)游竊賊”變種iyo運行后，會在被感染計算機的系統(tǒng)目錄下釋放多個病毒文件，同時將其中的DLL病毒文件插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系統(tǒng)進程以及幾乎所有用戶級權限的進程中加載運行，通過隱藏自身來防止被輕易地查殺?！熬W(wǎng)游竊賊”變種iyo是一個專門盜取“QQ華夏Online”、“地下城與勇士 Online”等網(wǎng)絡游戲會員賬號的木馬程序，會在被感染計算機的后臺秘密監(jiān)視用戶系統(tǒng)中所運行著的所有應用程序窗口標題，然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網(wǎng)絡游戲玩家的游戲賬號等信息，并在后臺將竊取到的玩家機密信息發(fā)送到駭客指定的遠程服務器站點上(地址加密存放)，致使網(wǎng)絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成不同程度的損失。

同時，“網(wǎng)游竊賊”變種iyo還具有竊取玩家游戲賬號密碼保護的功能。因此，當游戲玩家發(fā)現(xiàn)自己的游戲賬號被盜時，請千萬不要在被感染的計算機上登陸該網(wǎng)絡游戲的官方網(wǎng)站去找回游戲密碼，否則會連同密碼保護資料一起被駭客盜取，進而蒙受更多的損失?！熬W(wǎng)游竊賊”變種iyo會利用域名映像劫持功能，阻止用戶訪問網(wǎng)絡游戲的官方站點，從而延誤了用戶在丟失賬號后立即取回密碼的時機?！熬W(wǎng)游竊賊”變種iyo利用進程守護功能來實現(xiàn)自我保護。該病毒會通過替換系統(tǒng)文件來實現(xiàn)開機的自啟動。如果安全軟件直接刪除了病毒文件的話，會導致被感染計算機出現(xiàn)復制(粘貼)功能失效等異?，F(xiàn)象，嚴重地影響了用戶對計算機系統(tǒng)的正常使用。另外，“網(wǎng)游竊賊”變種iyo的主程序執(zhí)行完畢后會自我刪除。

Trojan/AntiAV.dj“系統(tǒng)殺手”變種dj是“系統(tǒng)殺手”木馬家族中的最新成員之一，采用Delphi語言編寫，經過加殼保護處理?！跋到y(tǒng)殺手”變種dj運行后，會復制自身到系統(tǒng)“c:\tasks\”目錄下并重新命名為“綠化.bat”和“csrss.exe”。同時，還會釋放腳本文件“hackshen.vbs”和配置文件“SA.DAT”。禁用Windows 安全中心服務“Security Center”，使關閉安全軟件后沒有警告提示信息，從而達到自我保護的目的。后臺調用系統(tǒng)進程“csrss.exe”，嘗試結束某些安全軟件的運行，給用戶的計算機安全造成了一定的安全隱患。釋放DLL病毒文件“wsock32.dll”到系統(tǒng)的所有目錄下(其中，由于兼容性的問題，可能會導致某些系統(tǒng)軟件啟動后會報錯、退出)，利用DLL劫持原理，使某些帶有連網(wǎng)功能的軟件自動連接駭客指定站點“http://211.***.***.32/wm/”，下載惡意程序“mm.exe”并調用運行(其中，所下載的惡意程序可能為網(wǎng)絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等，給用戶造成不同程度的安全威脅。

Trojan/QQFishing.b“QQ詐騙犯”變種b是一個傳播QQ釣魚網(wǎng)站的木馬程序，通過彈出偽裝的QQ中獎消息廣告條窗口來誘惑用戶上當受騙，從而利用讓用戶交納手續(xù)費的方式來騙取錢財。該病毒采用VB語言編寫，經過加殼保護處理?！癚Q詐騙犯”變種b運行時，會在被感染計算機系統(tǒng)中定時彈出偽裝的QQ中獎消息廣告條窗口來誘惑用戶上當受騙。這些廣告來源地址為“http://www.**q*8.cn/m/gx.htm”，駭客可以遠程隨意更新這些廣告網(wǎng)址上的信息內容。如果用戶不慎點擊了這些廣告條窗口中的惡意網(wǎng)站連接，該木馬程序就會調用IE瀏覽器打開偽造的網(wǎng)站，并顯示虛假的中獎信息，誘惑用戶點擊并進入領獎窗口。用戶按照中獎消息上提供的驗證碼去釣魚網(wǎng)站上領取獎品時，需要填寫個人資料等信息。領獎信息全部填寫完成后，釣魚網(wǎng)站會提示被騙者給駭客的銀行帳戶匯錢，從而給被騙者造成不同程度的經濟損失。另外“QQ詐騙犯”變種b是通過其它病毒的調用而啟動運行的。

Trojan/FlyStudio.dz“蒼蠅賊”變種dz是“蒼蠅賊”木馬家族中的最新成員之一，采用高級語言編寫，并且經過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL病毒文件，一般會被注入到系統(tǒng)IE瀏覽器“IEXPLORE.EXE”進程中加載運行，并在被感染計算機系統(tǒng)的后臺執(zhí)行惡意操作，防止被發(fā)現(xiàn)和查殺?！吧n蠅賊”變種dz運行時，會在被感染計算機系統(tǒng)的后臺秘密監(jiān)視用戶的鍵盤輸入，竊取用戶輸入的大部分賬號及密碼等機密信息資料，并在后臺將竊取的這些機密信息資料發(fā)送到駭客指定的遠程服務器站點或郵箱里，會給被感染計算機用戶的合法權益造成不同程度的侵害?！吧n蠅賊”變種dz運行后，會在系統(tǒng)的后臺秘密連接駭客指定的服務器，偵聽駭客指令，然后在被感染的計算機上執(zhí)行相應的惡意操作。駭客可通過“蒼蠅賊”變種dz木馬程序來實現(xiàn)遠程控制，嚴重的威脅到了計算機用戶的信息安全，甚至還會對商業(yè)機密造成無法挽回的損失。

Trojan/PSW.Moshou.auj“魔獸”變種auj是“魔獸”木馬家族中的最新成員之一，采用Delphi語言編寫，并且經過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL功能組件，一般會被注入到系統(tǒng)桌面程序“explorer.exe”等幾乎所有用戶級權限的進程中加載運行，并在被感染計算機系統(tǒng)的后臺執(zhí)行惡意操作，隱藏自我，防止被用戶發(fā)現(xiàn)、被安全軟件查殺?！澳ЙF”變種auj是一個專門盜取“魔獸世界Online”網(wǎng)絡游戲會員賬號的木馬程序，會在被感染計算機的后臺秘密監(jiān)視用戶系統(tǒng)中所運行著的所有應用程序窗口標題，然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網(wǎng)絡游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊取到的玩家機密信息發(fā)送到駭客指定的遠程服務器站點上，致使網(wǎng)絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成不同程度的損失。另外，“魔獸”變種auj會通過在被感染計算機注冊表啟動項中添加鍵值的方式實現(xiàn)開機后木馬自動運行。

Exploit.IMG-WMF.l“IMG-WMF漏洞利用者”變種l是一個利用微軟MS08-067漏洞進行惡意攻擊的工具。攻擊者會利用該工具向指定用戶計算機發(fā)送特定的遠程連接請求。如果用戶的計算機沒有及時修補該漏洞，在收到該工具發(fā)送的特制RPC請求后，會使攻擊者不經身份驗證，便可成功在遠程計算機中執(zhí)行惡意代碼。此漏洞已被用于一些蠕蟲攻擊事件之中，攻擊成功后會導致被攻擊系統(tǒng)自動下載駭客指定遠程服務器上的惡意程序，并自動調用運行。其中，所下載的惡意程序可能為網(wǎng)絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等，會給用戶造成不同程度的安全威脅。強烈建議您使用江民安全工具中的“系統(tǒng)漏洞檢查”功能修復該漏洞。同時，安裝并合理配置防火墻，以保護計算機系統(tǒng)不受惡意攻擊之害。

二、針對以上病毒，51CTO安全頻道建議廣大用戶：

1、最好安裝專業(yè)的殺毒軟件進行全面監(jiān)控并及時升級病毒代碼庫。建議用戶將一些主要監(jiān)控經常打開，如郵件監(jiān)控、內存監(jiān)控等，目的是防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

2、請勿隨意打開郵件中的附件，尤其是來歷不明的郵件。企業(yè)級用戶可在通用的郵件服務器平臺開啟監(jiān)控系統(tǒng)，在郵件網(wǎng)關處攔截病毒，確保郵件客戶端的安全。

3、企業(yè)級用戶應及時升級控制中心，并建議相關管理人員在適當時候進行全網(wǎng)查殺病毒。另外為保證企業(yè)信息安全，應關閉共享目錄并為管理員帳戶設置強口令，不要將管理員口令設置為空或過于簡單的密碼。

截至記者發(fā)稿時止，江民病毒庫均已更新，并能查殺上述病毒。感謝江民科技為51CTO安全頻道提供病毒信息。