4日病毒预报：下载者出现新变种 盗号木马很疯狂

　　一、明日高危病毒简介及中毒现象描述：

　　◆“网银窃贼”变种hzz运行后，在“%SystemRoot%\system32\”目录下释放病毒文件“IEBHO.dll”。修改注册表，将其注册为浏览器辅助工具（BHO），实现木马开机自动运行。在被感染计算机的后台秘密监视用户打开的窗口，一旦发现用户访问某些在线银行网站，秘密记录用户键盘和鼠标操作，窃取用户网上银行的账户、密码等机密信息，并将账户信息发送给骇客，给某些网上银行用户带来不同程度的损失。

　　◆“DNS变色龙”变种ftx运行后，自我复制到Windows目录下，并删除病毒原始文件。修改注册表，实现木马开机自动运行。强行篡改DNS设置，降低被感染计算机上的安全设置，可能导致被感染计算机无法正常连接网络等。另外，“DNS变色龙”变种ftx还可以从指定站点下载其它恶意程序并在被感染计算机上自动运行，大大降低了被感染计算机上的安全性。

　　◆“剑侠盗号木马102400”：如果在玩游戏时遇到突然掉线或程序关闭的情况，建议不要马上重新登录，你所遭遇的不一定是网络故障，而有可能是盗号木马的入侵。在毒霸反病毒工程师长久以来分析过的盗号木马中，有一类木马是通过强行中止游戏的方式来盗号的，近日，这类木马再次出现。

　　此次分析的这个木马，它会以网页挂马、文件捆绑等方式进入用户电脑系统，在系统盘下释放出两个病毒文件，即%WINDOWS%\目录下的mppds.exe与%WINDOWS%\system32\目录下的mppds.dll。其中mppds.exe是病毒主文件，它会被写入注册表启动项，实现开机自动运行。而mppds.dll则负责盗号工作。

　　如果顺利运行起来，病毒就把mppds.dll注入桌面进程explorer.exe中，然后悄悄建立远程线程，激活病毒代码，开始遍历进程。如果查找网络游戏《剑侠情缘2》的文件“so2game.exe”，病毒便会将其关闭。当玩家重启游戏后，病毒在游戏内存空间中搜索玩家通过游戏登陆窗口输入的数据，以此获取帐号和密码等信息，并以网络收信空间的方式发送给病毒作者。

　　◆“万能饵料盗号者”这是一个可以危害多款网游的盗号木马。它的作案原理与大多数其它盗号木马一样，都是靠注入游戏进程来作案，但由于它所注入的进程在多款游戏中都有，因此覆盖面较大。病毒在进入电脑后，在系统盘%windows%目录下释放病毒文件SHAProc.exe，同时在%windows%\system32\目录下释放出SHAProc.dat。然后，病毒把自己的相关数据写入系统注册表，实现自动启动。在这个过程中，它会创建线程监视是否有杀毒软件卡巴斯基的警告框弹出，如果有则关闭。

　　运行起来后，病毒创建单独的线程，监视用户系统，查找并注入Game.dll模块，读取帐号和密码数据。由于多款网游都具有Game.dll文件，受到影响的网游会比较多。根据毒霸反病毒工程师的统计，目前含有Game.dll的各款网游中，《魔兽争霸》的玩家较多，因此，该款游戏的的玩家需要特别留意。

　　此外，除盗取网游帐号外，该病毒也会监视QQ聊天工具的进程，伺机盗取帐号密码。不过如果已经安装了毒霸，就不必担心了。

　　◆“Win32.SillyDl.DOW”是一种下载的特洛伊病毒。可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。该变种下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

　　建议不要随意运行EXE文件；系统设置强壮的管理员口令。

　　◆“下载突击兵”病毒为下载者病毒类，病毒运行后，衍生病毒文件到系统目录%System32%下;重命名为：msosiocp.dll，并在%System32%\Setup\下创建文件名为：en_1072.bin,在目录%Temp%下释放驱动tmp1.tmp、tmp2.tmp、tmp3.tmp,修改文件属性为隐藏，修改注册表键值使explorer.exe以及由explorer.exe启动的进程自动加载msosiocp.dll；

　　添加注册表服务，调用SCM写注册表项将tmp*.tmp注册成名为winsync32的服务,通过相关函数启动被注册的服务加载驱动，将msosiocp.dll写入到每个新创建的进程空间中；遍历进程查找explorer.exe，申请内存空间将msosiocp.dll写入，通过远程线程创建激活病毒代码进行代码注入；逃避杀毒软件的查杀，并访问恶意网站下载其它病毒程序并运行。

　　◆“黑客门”病毒为系统内核级病毒，通过修改系统服务调度表(SSDT)，HOOK掉病毒释放的附属文件、进程名，并插入线程到系统进程中，给清除病毒体带来极大困难。首先，病毒释放驱动文件并加载，然后在用户空间可以通过直接读写\device\physicalmemory来修改SSDT的入口，从而可拦截系统调用API函数，当有查询或创建与病毒释放文件同名的事件发生时，即刻过滤掉。病毒通过创建系统服务的形式加载病毒体。该病毒可被人利用来控制用户电脑。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、金山、冠群金辰和安天实验室的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天实验室为51CTO安全频道提供病毒信息。