12-14日病毒预报：木马家族添新丁 当心灰鸽子变种

一、高危病毒简介及中毒现象描述：

◆“彩带”变种b是“彩带”木马家族的最新成员之一，采用高级Rootkit技术编写而成。“彩带”变种b运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放DLL木马组件“clbdll.dll”，在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“clbdriver.sys”。修改注册表，实现木马开机自动运行。用恶意驱动程序“clbdriver.sys”替换系统的“beep.sys”文件并加载运行，加载完毕后立即恢复系统的“beep.sys”文件，使用户难以察觉病毒的存在。恶意驱动程序运行后，会挂钩系统函数，致使用户运行任意程序时都先加载病毒组件文件。在被感染计算机上查找并强行关闭数款安全软件，大大降低了被感染计算机上的安全性。在被感染计算机后台查找*.asp、*.aspx、*.php、*.html、*.htm、*.cgi等文件，利用这些文件进行网页挂马。另外，“彩带”变种b还会在被感染计算机后台连接骇客指定站点，下载恶意程序并自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“窃贼Ld”变种ceo是“窃贼Ld”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“窃贼Ld”变种ceo运行后，循环检测正在运行的窗口标题，一旦发现某些安全软件或者是Windows防火墙程序弹出拦截窗口，则立刻模拟鼠标，点击“允许”按钮，给窗口发送消息。在后台秘密收集被感染计算机系统的信息（包括硬盘的可用空间、用户名、计算机名、操作系统版本号、计算机安装的程序等）。查找MirandaIM软件（如果被感染计算机上已经安装）的数据文件，可能会窃取用户的QQ，ICQ，MSN，Yahoo等即时通讯工具的聊天记录甚至账号、密码等私密信息。查找某些常用的FTP软件，获取文件中保存的用户账号、密码等信息；从某些常用的邮件软件中获取已保存的用户名、密码、邮箱地址等机密信息，以邮件的形式发送到骇客指定的远程服务器上，给用户带来不同程度损失。

◆“劫持犯”变种bi是“劫持犯”木马家族的最新成员之一，采用VC编写，并经过添加保护壳处理。“劫持犯”变种bi运行后，强行将系统时间设置为2001年，导致某些安全软件杀毒和保护功能失效。在被感染计算机的后台调用系统“svchost.exe”进程，并将恶意代码注入到其中运行，实现反安全软件的功能，然后进行恶意操作。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放恶意驱动文件，文件名随机生成，并将文件属性设置为隐藏。驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的，驱动文件还可能会覆盖破坏系统程序“explorer.exe”，把恶意可执行代码写入到系统程序中，具有绕过“还原保护系统”，覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程，强行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行，利用该批处理程序去关闭“系统防火墙”。修改注册表，利用进程映像劫持功能禁止指定的安全软件运行。“劫持犯”变种bi会在被感染计算机系统的后台连接骇客指定站点，下载包括“系统杀手”、“ARP杀手”、“代理木马”、“机器狗”等大量木马病毒到用户计算机中安装运行，给用户带来极大的损失。“劫持犯”变种bi还会在任务执行完毕后，会马上关闭退出。在退出时，被注入恶意代码的系统“svchost.exe”进程会删除掉病毒所在磁盘中的文件，使用户无法寻找到该病毒样本。

◆“代理木马”变种axo是“代理木马”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“代理木马”变种axo运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“wfeoe.exe”和“yhiln.exe”，并将这两个文件添加为启动项，实现木马开机自动运行。提升自身权限，查找并强行关闭大量流行的安全软件，大大降低了被感染计算机上的安全性。强行调用某些安全软件自带的卸载程序，将被感染计算机上的安全软件卸载。强行篡改注册表，利用进程映像劫持功能禁止数百种安全软件及调试工具运行，致使用户计算机系统毫无安全保障。在被感染计算机硬盘各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件“yhiln.exe”（属性为“系统、隐藏”），实现双击盘符启动“代理木马”变种axo目的，从而利用U盘、移动硬盘等移动设备进行自我传播。

◆“灰鸽子变种1077248” 此毒是灰鸽子木马家族的一个变种成员。它进入系统后，在%WINDOWS%目录下生成隐藏属性的病毒文件Hacker.com.cn.exe 。该文件一旦被释放出来，就会立即搜寻并修改系统注册表的启动项，创建注册表系统驱动服务或注册表RUN项，实现自启动。

当用户再次启动电脑后，病毒就开始运行，它在后台悄悄连接病毒作者指定的远程服务器，向种植木马的人（黑客）报告自己所处电脑的地址和系统信息，并等待黑客发送指令。

由于病毒会取得系统的最高权限，黑客将可以利用它来对电脑进行任何想要的控制，包括文件的读写复制、服务的创建与删除、网络连接与中断等。从而造成用户电脑中的数据被盗，或者电脑沦为肉鸡。

◆“PE感染控制器1436” 这个病毒只要进入未被它入侵过的电脑中，就会搜索所有的exe文件，对它们进行感染。它在被感染文件最后节后添加新节，修改被感染文件入口点至新节开始。这样，当用户运行正常文件时，它就能抢先运行起来。

病毒首先会解密病毒代码，它对自己的部分代码使用了变形技术，这部分代码在每次感染时会变换代码形式，看得出，它试图躲避杀软查杀。

该毒运行起来后，会释放出另一个病毒Win32.Parite.c.471040。这个病毒是个远程木马程序，它会注入系统桌面进程explorer.exe执行自己的病毒代码，达到隐蔽运行的效果。如果Win32.Parite.c.471040成功运行，就可能造成用户电脑被黑客控制。

◆“av劫持者变种aprb” 该病毒为新破天一剑游戏盗号木马，运行后生成新的一个DLL文件插入到EXPLORER.EXE进程中，并HOOK掉瑞星，通过修改注册表来达到随机启动。当遇到QQDoctor.exe、KVsrvxp.exe、KVMonXP.exe、kissvc.exe、kwatch.exe、safeboxtray.exe、RavMod.exe、RavTask.exe、AntiArp.exe、360tray.exe等这些反病毒软件的进程就结束掉以此来保证自己的生存。通过截获用户的键盘和鼠标消息获取“新破天一剑”的账号和密码，并读取该进程目录下的userdata\currentserver.ini文件,获取用户所在游戏服务器的相关信息，通过URL发送到木马种植者指定的接收网址，造成用户的虚拟财产丢失。

◆“偷盗者变种apms” 该病毒运行后释放病毒文件到%Windir%\system32\下。并删除自身。添加注册表项CLSID值。添加HOOK项，以达到当系统启动的时候利用Explorer.exe进程加载mpwdeapi.dll。劫持浏览器，添加注册表BHO项，用来当IE运行时加载mpwdeapi.dll，添加进程siwdaapi.exe，此进程修改Explorer.exe内存，获得控制权，把病毒mpwdeapi.dll文件注入到explorer.exe中。完成后结束自身进程siwdaapi.exe。此木马为《问道》游戏盗号木马。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸和安天为51CTO安全频道提供病毒信息。