5月30日病毒日報:"露薩"變種在行動 "IE大盜"來破壞

51CTO安全頻道今日提醒您注意：在明天的病毒中「頑梯」變種ezi、「網遊竊賊」變種tsg、「露薩」變種aq、「IE大盜」變種d 、「視覺控制492544」和「完美世界盜號器114688」都值得關注。

 

1、明日高危病毒簡介及中毒現象描述：

 

◆「頑梯」變種ezi是「頑梯」惡意驅動程序家族的最新成員之一，採用C語言編寫，通常以系統服務的方式來運行。「頑梯」變種ezi運行後，執行還原系統「SSDT HOOK」的操做，導致部分安全軟件的防護系統和監控系統失效，從而達到***免殺和躲避監控的目的。在系統SSDT中掛鉤某些關鍵函數，隱藏自我，保護病毒傀儡進程「RUNDLL32.EXE」 句柄，防止該進程被用戶關閉掉。「頑梯」變種ezi屬於惡意程序集合中的一個功能模塊，伴隨着該***程序模塊，還會有不少其它惡意程序模塊一塊兒安裝到了被感染計算機系統中。用戶計算機一旦感染了該類病毒，那麼很難完全清除乾淨，給用戶帶來不一樣程度的損失。

 

◆「網遊竊賊」變種tsg是「網遊竊賊」***家族的最新成員之一，採用VC++ 6.0編寫，並通過加殼保護處理。「網遊竊賊」變種tsg運行後，自我插入到被感染計算機的系統「explorer.exe」進程中加載運行，隱藏自我，防止被查殺。修改註冊表，實現***開機自動運行。在被感染計算機系統的後臺利用HOOK技術和內存截取等技術盜取網絡遊戲《QQ華夏》玩家的遊戲賬號、遊戲密碼、倉庫密碼、角色等級、金錢數量、所在區服、計算機名稱等信息，並在後臺將玩家信息發送到駭客指定的遠程服務器站點上，導致《QQ華夏》遊戲玩家的遊戲賬號、裝備物品、金錢等丟失，給遊戲玩家帶來很是大的損失。另外，「網遊竊賊」變種tsg還具備反部分安全軟件的功能，防止被安全軟件監視和查殺，大大下降了被感染計算機上的安全性。

 

◆「露薩」變種aq是「露薩」***家族的最新成員之一，採用Delphi語言編寫，並通過加殼處理。「露薩」變種aq運行後，自我複製到被感染計算機系統的「%SystemRoot%\system32\」目錄下，並重命名爲「Mousie.exe」。在被感染計算機系統的後臺祕密監視正在運行的進程名和已打開的窗口標題，一旦發現某些安全軟件程序正在運行，立刻將其強行關閉。破壞註冊表項，導致沒法顯示隱藏文件。遍歷用戶計算機的C到Z驅動器，建立病毒副本，利用U盤、移動硬盤等移動設備進行傳播。在被感染計算機系統的後臺鏈接駭客指定站點，獲取惡意程序的下載地址列表，在被感染的計算機上下載全部的惡意程序並自動調用運行。強行篡改註冊表，實現進程映像劫持，致使用戶運行某些安全程序時實際上運行的是「露薩」變種aq主程序，甚至系統自帶的任務管理器也沒法正常運行。「露薩」變種aq執行安裝程序完畢後會自我刪除。另外，「露薩」變種aq還能夠自升級。

 

◆「IE大盜」變種d是「IE大盜」***家族的最新成員之一，採用高級語言編寫，並通過加殼保護處理。「IE大盜」變種d運行後，在被感染計算機系統「%SystemRoot%\system32\」目錄下釋放病毒DLL組件「mswapi.dll」。修改註冊表，自我註冊爲瀏覽器輔助插件（BHO），實現***隨IE瀏覽器的啓動而加載運行。在被感染計算機系統的後臺利用HOOK技術和鍵盤記錄等技術盜取用戶在IE瀏覽器中輸入的幾乎全部機密信息資料（包括：瀏覽的網址甚至是用戶名、密碼等機密信息），並將竊取到的用戶信息發送到駭客指定的遠程服務器站點上，給用戶帶來不一樣程度的損失。另外，「IE大盜」變種d完成安裝釋放的過程後會自我刪除，消除痕跡。

 

◆「視覺控制492544」 這個病毒的行爲相似於灰鴿子，運行起來後就會監視用戶系統的操做，並創建後門，方便***非法登陸和控制用戶電腦。

此病毒比較大的一個特色是，它會假裝正常的經常使用文件的圖標，誘騙用戶點擊，使它得以運行。至於採用何種圖標，則根據變種的不一樣而不一樣。在此篇預警播報所描述的版本中，它採用的是QQ即時聊天工具的圖標，但在其它版本中，則存在有WORD文檔、文件夾、MSN等多種圖標。

當被點擊激活後，病毒就釋放出文件userdata.exe和userdata.dll到%WINDOWS%目錄下。不過，這些文件的名稱不固定，它們也可能採用其它看似正常的系統文件的名稱。接着，病毒就注入svchost.exe等系統進程，隱蔽地運行本身。

若是順利運行起來，病毒就與病毒做者（***）指定的遠程地址鏈接，使得***能夠監視用戶的電腦屏幕，以及在無任何提示的狀況下啓動視頻設備，而且還能夠執行任何他想要的其它非法操做。

 

◆「完美世界盜號器114688」 這個盜號***利用消息監控的方式來盜取《完美世界》玩家的賬號和密碼。它的原理普通，但因爲藉助下載器和捆綁其它文件，近來該毒和它的若干變種的傳染趨勢有所加強。

病毒進入系統後，會試圖在系統盤下建一個名爲Syswm1h的隱藏文件夾，而後將本身的文件svchost.exe和Ghook.dll釋放到其中。不過，因爲病毒做者指定的路徑爲C盤根目錄，若是你的系統盤不在C盤上，那病毒就沒法完成這個動做了。

若是能夠成功釋放出文件，病毒就修改系統註冊表實現開機自啓動，並將DLL文件注入桌面進程Explorer.exe，搜尋《完美世界》的進程。而後就創建消息監視，從遊戲客戶端與服務器端的通信中截獲賬號與密碼，發送到***種植者指定的郵箱。令玩家受到虛擬財產的損失。

 

2、針對以上病毒，51CTO安全頻道建議廣大用戶：

 

一、最好安裝專業的殺毒軟件進行全面監控並及時升級病毒代碼庫。建議用戶將一些主要監控常常打開，如郵件監控、內存監控等，目的是防止目前盛行的病毒、***、有害程序或代碼等***用戶計算機。

 

二、請勿隨意打開郵件中的附件，尤爲是來歷不明的郵件。企業級用戶可在通用的郵件服務器平臺開啓監控系統，在郵件網關處攔截病毒，確保郵件客戶端的安全。

 

三、企業級用戶應及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒。另外爲保證企業信息安全，應關閉共享目錄併爲管理員賬戶設置強口令，不要將管理員口令設置爲空或過於簡單的密碼。

 

截至記者發稿時止，江民、金山的病毒庫均已更新，並能查殺上述病毒。感謝江民科技、金山毒霸爲51CTO安全頻道提供病毒信息。

 

【相關文章】

• 更多病毒日報

• 更多病毒週報