“米伽”變種潛伏U盤 疑似越南病毒流入國內(nèi)

據(jù)新華社報道，一種名為“米伽”變種gst的病毒在8月初現(xiàn)身互聯(lián)網(wǎng)。根據(jù)360安全中心監(jiān)測，該病毒主要通過U盤傳播，它會將中招電腦的瀏覽器首頁篡改為一家英文網(wǎng)站，360殺毒和360安全衛(wèi)士均可攔截并查殺“米伽”變種gst，建議廣大電腦用戶在安全軟件開啟的情況下使用U盤。

360安全專家石曉虹博士分析說，“米伽”變種gst是一個典型的感染型病毒。如果有U盤感染了該病毒，“米伽”就會偽裝為U盤中的文件夾，而把真正的文件夾隱藏起來。當用戶電腦插入帶毒U盤時，鼠標雙擊文件夾就會使“米伽”病毒侵入電腦，從而導致電腦中的大量exe文件也被病毒感染，對用戶數(shù)據(jù)安全具有一定威脅。

石曉虹博士同時表示，“米伽”變種gst的防御難度并不高，電腦安裝有效安全軟件即可將其攔截。因此，對打印店、辦公室等經(jīng)常使用U盤的電腦來說，只要注意開啟安全軟件并定期升級，就能有效防范該病毒感染電腦和U盤。

值得關注的是，“米伽”變種gst會專門破壞一款越南的殺毒軟件Bkav，其原始樣本應該是由越南流入國內(nèi)。此外，該病毒還會通過局域網(wǎng)共享文件夾傳播，并控制GoogleTalk和YahooMessenger兩款國外流行的聊天工具發(fā)送病毒消息。

附：“米伽”變種gst病毒分析

病毒名稱：“米伽”變種gst

病毒類型：“偽裝文件夾”感染型病毒

病毒行為：

一、主要傳播途徑包括U盤等移動存儲設備、局域網(wǎng)共享目錄以及GoogleTalk和YahooMessenger這兩款聊天工具，利用偽裝文件夾吸引用戶點擊，從而激活病毒。

二、在system32目錄下生成autorun.ini和自身文件chrome.exe，windows目錄下生成chrome.exe。

三、感染所有磁盤下的部分EXE文件和名稱為目錄名的病毒文件，調(diào)整文件夾權限屬性。

三、篡改瀏覽器主頁為http://h1.ripway.com/poojasharma/index.html

四、設置阻止鍵盤輸入，然后自身實現(xiàn)模擬鍵盤按鍵，之后恢復鍵盤輸入。

五、枚舉計算機的共享目錄，拷貝病毒到其目錄下，與共享目錄名相同的病毒文件。

六、禁用任務管理器、禁用注冊表工具，修改注冊表WINLOGON和RUN項為病毒文件實現(xiàn)自啟動，自動更新下載更多惡意程序。

七、從資源管理器菜單和控制面板刪除文件夾選項：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions = 1，并關閉帶有Bkav2006,game_y，System Configuration，Registry，Windows Task開頭的窗口，定期結束cmd進程，刪除BkavFw和IEProtection在啟動項的值。

八、通過讀取注冊表googletalk和ymsgr的目錄，然后運行"googletalk"和"YahooMessenger" 定期發(fā)送消息進行傳播，從而進一步擴散病毒傳播范圍。