26-28日病毒预报：当心脚本病毒变异 盗号木马很猖狂

　　一、高危病毒简介及中毒现象描述：

　　◆“Iframe溢出者”变种ab是“Iframe溢出者”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ab一般内嵌在正常网页中，如果用户没有及时升级修补搜索工具条软件相应的漏洞补丁，那么当用户使用浏览器访问带有“Iframe溢出者”变种ab的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，用户一旦打开带有“Iframe溢出者”变种ab的恶意网页时，还会弹出广告窗口，干扰用户的正常工作和上网。

　　◆“玛格尼亚”变种cfz是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种cfz运行后，在“%SystemRoot%\help\”目录下释放组件“F3C74E3FA248.dll”。修改注册表，实现木马开机自动运行。采用HOOK技术和内存截取技术，在被感染计算机的后台监视用户打开的窗口标题，盗取《黄易群侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种cfz还会在被感染计算机上下载更多的恶意软件，给网络游戏玩家带来非常大的损失。

　　◆“网游内存盗号者65536”这是一个原理很普通的盗号木马，之所以发出预警是该病毒的传播量有所增高。这个木马会通过建立全局监视的办法，盗取网络游戏《魔兽世界》、《赤壁》和《茶苑游戏大厅》的帐号信息。

　　它通过网页挂马和下载器的帮助进入用户的电脑系统后，在系统盘%WINDOWS%目录下释放出病毒主文件mfchlp32.exe，在%WINDOWS%\system32\目录下释放出用来执行盗号的文件mfchlp32.dll，然后就修改系统注册表，把主文件的相关信息加入其中，实现开机自启动。

　　如果成功开始运行，病毒就枚举系统上的进程，把mfchlp32.dll注入系统桌面explorer.exe 的进程空间，在系统上展开全局监视，搜索《魔兽世界》、《赤壁》和《茶苑游戏大厅》的进程，发现后注入其中，通过内存读取的方式获得用户的帐号密码，然后发送给病毒作者。

　　病毒中含有一个地址http:/ /www.ck***66.com/cy876/lin111.asp?&ie=##，经毒霸反病毒工程师检查，该地址是病毒作者指定的远程服务器，当病毒盗窃成功后，就会悄悄把赃物发送过去。

　　◆“投机份子下载器”这个病毒是一个下载器，它的原理也很简单。但毒霸反病毒工程师发现，在最近出现的一些具有对抗杀软能力的下载器下载名单中，这个下载器频频出现，看来下载器们也已开始采取互相合作。

　　该病毒在进入用户系统后，把自身复制到系统盘%WINDOWS%\system32\目录下，改名为liveupdate.exe。并复制系统中的文件URLMON.DLL，将它改名为lo.dll，也放到%WINDOWS%\system32\目录下。这个urlmon.dll是WINDOWS系统中关于对象链接和嵌入的模块，病毒会利用它来实现自己的一些动作。

　　接着，病毒会试图在注册表中添加自启动项，但是由于自身有错误，它并不能成功随系统启动。按照病毒作者原先的想法，当它成功运行起来后，就会从指定的地址http://www.lai****.com.cn/img/下载其它木马病毒并运行，病毒作者安排好的文件多达22个，名称为svrhost.exe，kavpro.exe，xia01.exe-xia20.exe，如果下载成功，它们会被藏在%WINDOWS%\system32\目录下。

　　◆“幻想游戏大盗”该病毒为木马类，病毒运行后释放文件到系统目录下，修改注册表添加启动项，达到随系统启动的目的。并将释放出来的动态链接库文件ticisms.dll超如到系统进程Explorer.exe进程模块中，进而监视还有关键字qqffo.exe和liveupdate.EXE的进程。qqffo.exe为QQ幻想游戏进程文件。该病毒主要通过网页挂马和捆绑式进行传播，进QQ游戏玩家造成一定的影响。

　　◆“下载者”该病毒为蠕虫病毒，病毒运行后调用GetSystemTime函数获取系统当前时间，遍历进程查找AVP.exe安全软件进程，如存在则把系统时间修改为2001年，衍生病毒驱动文件到%System32%目录下，重命名为d2d8.dll，病毒运行后自我删除，映像劫持多种安全软件及系统常用工具，以降低系统的安全性；连接网络，连接网络下载大量恶意文件，由于病毒种类繁多，给用户清除病毒带来极大的不便。

　　◆Win32/Cutwail.DR是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件，将它们保存到磁盘或者注入其它的程序。同时，这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

　　Cutwail运行时生成%Windows%\System32\main.sys文件。

　　病毒危害：

　　下载并运行任意文件；

　　发送大量的邮件；

　　Rootkit 功能。

　　二、针对以上病毒，51CTO安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、金山、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。