黑客利用微软MS09-002安全漏洞入侵挂马

焦点威胁

在2月18日前，金山毒霸就已截获MS09-002安全漏洞的利用代码，并发布威胁预警，同时严密监视网络中的木马感染情况。根据毒霸云安全系统的监测，上周以800万台次高居感染量排行榜榜首的“脚本狂徒”家族，感染量在这周出现了大幅度的下降，截止周五，日均感染量已跌至3万台。而一些必须借助下载器才能传播的远程控制器、广告木马和网游盗号木马，却出现了小幅度的感染量上升。

病毒反病毒工程师认为，这很可能是病毒团伙在进行某种传播策略的调整，而这种调整，是为了即将到来的又一次爆发式传播，而这就是MS09-002漏洞。

目前，MS09-002漏洞的利用代码已经在国内黑客圈子中传播开来，一旦嵌入MS09-002代码，哪怕是一个老掉牙的下载器，也能摇身变为无孔不入的007，轻而易举的突破系统防御。

而“usp10.dll猫癣病毒”（又名犇牛）这个毒王当然也不会放过这个传播的好机会，毒霸反病毒工程师推测，该毒的作者极有可能在新变种中加入MS09-002漏洞代码，大幅提升该毒威力。

不过，金山毒霸已经为毒霸用户加强了针对MS09-002漏洞的防御，用户只需使用清理专家模块升级补丁，就可免受该漏洞带来的麻烦。如果是非毒霸用户，我们提供一款由毒霸反病毒工程师特别开发的防挂马工具“网盾”，该工具可拦截包括MS09-002漏洞代码在内的所有网页挂马，在至今为止的测试中，拦截率为100%。

其它需关注威胁

“猫癣下载器变种”（Win32.Troj.Usp102.xx.69632）

猫癣下载器的新变种仍在不断涌现。其中一些变种较早期版本而言隐蔽得多。大家应该都记得，早期版本的“猫癣”，会在几乎所有磁盘分区中都生成usp10.dll文件，并且干扰迅雷的正常运行。病毒作者了解民愤后，很快对病毒进行了改进。

此篇预警中的猫癣变种，它依靠其它下载器的帮助来传播，并且不会下载盗号木马来执行盗号任务，而是自己就具备了盗号的功能，可以盗窃《魔兽世界》、《传奇》、《征途》、《剑侠世界》、《问道》等网游的帐号，这就避免了因长时间下载占用网络而被发现。

同时，它仅在游戏目录中释放出usp10.dll，也不再干扰迅雷的运行。实现了“悄悄地进村，打枪的不要”。

当盗窃成功，它就在后台连接病毒作者安排好的远程地址，将赃物发送出去。然后执行自删除命令，销毁自己的母体，以免自己的样本被捕获。

病毒作者似乎并不仅仅满足盗窃游戏账号，因为在此变种中，毒霸反病毒工程师还发现了远程控制的功能入口，这使得该毒可以变成一个黑客远程控制程序，执行病毒作者发来的任何指令。

来自金山毒霸反病毒工程师的几点安全建议

1.安装专业的正版杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开，并一定要开启自动升级功能，遇到杀毒软件异常的问题，要尽快与其生产厂商联系求助。

2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大，只要你的系统中存在安全漏洞，病毒就可以找到突破防御的缝隙。因此，请尽可能使用正版软件，以获得及时的升级服务。

3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户，因此建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，这样才能切断病毒感染的途径，不给病毒以可乘之机。

4.警惕网络诈骗，切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击，而至于基于社会工程学的诈骗，很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理，比如QQ中大奖、网站抽大奖等。