5月22日病毒日報：「摩登王」新變種 盜號***在行動

【51CTO.com 獨家報道】51CTO安全頻道今日提醒您注意：在明天的病毒中「摩登王」變種c、「163反殺賊」變種、「網遊盜號***78089」和「「冒險島盜號者107664」」都值得關注。

 

1、明日高危病毒簡介及中毒現象描述：

 

◆「摩登王」變種c是「摩登王」***家族的最新成員之一，採用高級語言編寫，並通過添加保護殼處理。「摩登王」變種c運行後，在被感染計算機系統「%SystemRoot%\system32\」目錄下釋放病毒DLL組件，文件名稱由8位隨機字符組成。修改註冊表，實現***開機自動運行。將病毒代碼注入到「winlogon.exe」和「explorer.exe」中並調用運行，隱藏自我，躲避某些安全軟件的查殺。經過提高自身權限、強行篡改註冊表鍵值等方法查找並強行關閉大量流行的安全軟件、瀏覽器輔助安全插件等，而且可能會卸載某些安全軟件，極大地下降了被感染計算機系統的安全性。在後臺祕密收集被感染計算機的系統信息併發送到駭客指定的服務器上。從駭客指定站點下載惡意程序並在被感染計算機上自動調用運行，給被感染計算機用戶帶來不一樣程度的損失。

 

◆「163反殺賊」變種是「163反殺賊」***家族的最新成員之一，採用Visual C++ 6.0編寫，並通過加殼保護處理。「163反殺賊」變種運行後，自我複製到被感染計算機系統的「%SystemRoot%\system32\」目錄下，並從新命名爲「tcpip.exe」。自我註冊爲系統服務，實現「163反殺賊」變種開機自動運行。在被感染計算機系統的後臺搜索某些與安全相關的進程，一旦發現便將其強行關閉，達到自我保護的目的。將惡意可執行代碼分別注入到系統IE瀏覽器進程「IEXPLORE.EXE」和系統桌面程序進程「explorer.exe」中，而後調用執行惡意操做。在被感染計算機系統的後臺鏈接駭客指定的遠程服務器站點，獲取其它惡意程序的加密下載地址列表，而後執行下載「列表」中的所有惡意程序並自動調用安裝運行。另外，「163反殺賊」變種具備躲避部分安全軟件的查殺和防火牆監控的功能。

 

◆「網遊盜號***78089」 這個盜號***近來傳播趨勢較高。毒霸反病毒工程師發現，該毒近來出現大量變種，多是病毒做者利用自動生成工具批量生成的緣由，值得關注。

文件進入系統後，將兩個病毒文件釋放到系統盤下，分別爲%WINDOWS%\下的huifitc.exe，以及%WINDOWS%\system32\目錄下的huifitc.dll。其中huifitc.exe是病毒的主文件，會被注入系統註冊表，以實現病毒的開機自啓動。而huifitc.dll用於執行盜號行爲。

當順利運行起來，病毒就注入系統桌面進程explorer.exe，搜索網遊《烽火之旅》、《魔獸世界》，以及「遊戲茶苑」，發現後注入其中。如注入成功，就讀取賬號和密碼，發送到病毒做者指定的地址http:/ /www.ck8***6.com，給用戶形成虛擬財產的損失。

 

◆「冒險島盜號者107664」 此盜號***利用消息鉤子來盜取用戶的遊戲賬號。所謂的消息鉤子，就是在用戶與遊戲服務器的通信信息之間創建監視，從其中篩選出賬號與密碼信息。

病毒在進入系統後會釋放出病毒文件fdght.dll、fjyjy.cfg、fjyjy.dll，它們的相關數據會被添加到註冊表啓動項中，使病毒實現開機自啓動。文件的目錄是%WINDOWS%\system32\，習慣手動查殺的用戶，注意需將這幾個文件刪除。

最後，病毒搜尋《冒險島oline》遊戲進程，並將文件注入其中，盜取賬號，而後把贓物經過網頁提交的方式發送到 [url]http://www.[/url]******.cn/911qj_tx/200/post.asp這個由病毒做者指定的網址。

 

2、針對以上病毒，51CTO安全頻道建議廣大用戶：

 

一、最好安裝專業的殺毒軟件進行全面監控並及時升級病毒代碼庫。建議用戶將一些主要監控常常打開，如郵件監控、內存監控等，目的是防止目前盛行的病毒、***、有害程序或代碼等***用戶計算機。

 

二、請勿隨意打開郵件中的附件，尤爲是來歷不明的郵件。企業級用戶可在通用的郵件服務器平臺開啓監控系統，在郵件網關處攔截病毒，確保郵件客戶端的安全。

 

三、企業級用戶應及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒。另外爲保證企業信息安全，應關閉共享目錄併爲管理員賬戶設置強口令，不要將管理員口令設置爲空或過於簡單的密碼。

 

截至記者發稿時止，江民、金山的病毒庫均已更新，並能查殺上述病毒。感謝江民科技、金山毒霸爲51CTO安全頻道提供病毒信息。