9日病毒预报：蠕虫家族添新丁 “风花雪月”很可恶

　　一、明日高危病毒简介及中毒现象描述：

　　◆“沃忒客”变种a是“沃忒客”蠕虫家族的最新成员之一，采用VC++编写，并经过加壳处理。“沃忒客”变种a运行后，在C盘根目录释放名为“zzz.sys”的驱动文件，利用该驱动穿透还原软件，感染“%SystemRoot%\explorer.exe”文件，实现开机自动运行。在被感染

　　计算机系统的后台秘密监视移动存储设备，一旦发现便在移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件，实现用户双击盘符启动“沃忒客”变种a运行的目的。另外，“沃忒客”变种a还会连接骇客指定的远程服务器站点，下载大量恶意程序并在被感染计算机上自动运行，严重威胁用户计算机信息安全。

　　◆“玛格尼亚”变种cfq是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“玛格尼亚”变种cfq运行后，在“%SystemRoot%\Debug”目录下释放病毒文件。修改注册表，实现木马开机自动运行。采用HOOK技术和内存截取技术，在被感染计算机系统的后台盗取网络游戏《黄易群侠传》玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《黄易群侠传》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种cfq还会在被感染计算机上下载更多的恶意程序，严重威胁网络游戏玩家的信息安全。

　　◆“时光机盗号器69632”这是一个会利用修改系统时间的方法来对抗杀毒软件的盗号木马。它进入电脑后会在系统盘的%WINDOWS%\system32\目录下释放出病毒文件monb32drv.dll，并将其数据写入注册表启动项，实现开机自启动。这里要注意一点，病毒会对monb32drv.dll采取部分重命名的处理，它会将该文件名的第一个和第四个字母随机变化，防止杀毒软件升级后根据它的关键字来进行查杀。

　　当病毒启动后，它就修改系统时间为过去的时间，令那些需要依赖系统时间来进行激活和升级的杀毒软件瘫痪。同时，病毒调用monb32drv.dll中的函数，查找并删%WINDOWS%\system32\drivers\etc\目录下的Hosts文件，解除系统的上网安全监视，让它能够利用IE登录任何它想去的网站。

　　最后，病毒会展开全局监视程序，监视用户上网时输入的所有消息，并将它们发送到病毒作者指定的远程地址。接下来，病毒作者只需进行一些简单的分析，就可以获得用户的私人敏感信息，比如各类帐号。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-nilage-69632-50517.html

　　◆“风花雪月”爱情总是在风花雪月的烂漫中随风轻扬，无论最终结果如何，总能留下一下值得回忆的东西。作家用文字记录爱情，乐师以旋律表现爱情，至于不善表达的程序员，他们展示自己心境的方法当然也就是通过代码了。

　　毒霸反病毒工程师们近日处理的病毒中，就有这么一个见证着爱情的病毒。它是一个黑客后门程序，通过感染EXE格式文件的方式来进行传播。说它与爱情有关，是因为病毒作者会利用这个病毒来传播一个名为WindFlowerSnowMoon.love（中文意思就是“风花雪月”）的文件，用记事本打开后，可以看到这是一封英文情书，病毒作者在信中表达了自己对东北财经大学经济学专业某女生的仰慕，称自己“I fell in love with her at first sight，and I love her very much.....”。

　　整封信看上去很浪漫，但经毒霸反病毒工程师的分析，该病毒除了传播这封情书外，还会在用户电脑中制造一个后门，它随机生成监听端口，等待黑客服务器端的连接。如果黑客进入了用户电脑，就能进行各种他想要的操作，给用户带来无法估计的损失。

　　该病毒的主文件隐藏在系统盘windows目录下，名称是Rundll32.exe。另外，它还将自身拷贝到系统盘%Program Files%文件夹的一些常用软件目录中，例如%Program Files%\Internet Explorer\、%Program Files%\Windows Media Player\等目录，在这些目录中，病毒名称为WindFlowerSnowMoon.exe。

　　虽然尚未收到因该病毒而造成损失的报告，可既然它建立后门，对用户的系统安全构成了威胁，那无论如何，毒霸都必须将它查杀。同时，毒霸反病毒工程师告诫病毒作者，尽管程序员多半不善于表达自己的内心，但向女孩子传递爱意的方法还是有许多的，鼓起勇气当面表达的效果也许更好，完全没必要使用这种损害他人系统安全的方法，否则终将触犯法律，害人害己。想一想，有多少女生会喜欢罪犯？

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-winflower-ha-95232-50518.html

　　◆“痴心木马”该病毒运行后，衍生病毒副本到程序目录下，添加注册表hook项以引导病毒体。设置钩子函数劫获相关进程消息，发送到病毒作者指定页面，以盗取用户游戏账号信息。试图痴心盗取所有游戏的账号和密码，可是由于病毒只是简单的套用一个模式获取游戏信息，所以并不是对每一款游戏都有效。改病毒主要通过网页挂马或者是下载者进行传播。

　　◆“host修改者”该病毒属蠕虫类，病毒运行后复制自身到系统目录下，并分别重命名为：mshtmldat32.exe、sdrivew32.exe、winlgcvers.exe、wndrivs32.exe；修改注册表，添加启动项，以达到随机启动的目的；病毒运行后打开%windir%目录下的图片Soap Bubbles.bmp；wndrivs32.exe以子进程的方式注入到系统进程explorer.exe中，并间隔6000ms查看一次wndrivs32.exe进程，如关闭则重新启动；该病毒通过Skype文字聊天工具进行传播。修改主机host文件，屏蔽安全软件相关网站。

　　◆Win32.SillyDl.DOX是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时，通过Internet Explorer浏览器安装的，其它的特洛伊下载器或程序，或者是用户选择安装的软件包。

　　Win32/SillyDl变体可能下载其它的特洛伊病毒，或者没有病毒的程序例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。