5月22日病毒日报：“摩登王”新变种 盗号木马在行动

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“摩登王”变种c、“163反杀贼”变种、“网游盗号木马78089”和““冒险岛盗号者107664””都值得关注。

 

一、明日高危病毒简介及中毒现象描述：

 

◆“摩登王”变种c是“摩登王”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“摩登王”变种c运行后，在被感染计算机系统“%SystemRoot%\system32\”目录下释放病毒DLL组件，文件名称由8位随机字符组成。修改注册表，实现木马开机自动运行。将病毒代码注入到“winlogon.exe”和“explorer.exe”中并调用运行，隐藏自我，躲避某些安全软件的查杀。通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等，并且可能会卸载某些安全软件，极大地降低了被感染计算机系统的安全性。在后台秘密收集被感染计算机的系统信息并发送到骇客指定的服务器上。从骇客指定站点下载恶意程序并在被感染计算机上自动调用运行，给被感染计算机用户带来不同程度的损失。

 

◆“163反杀贼”变种是“163反杀贼”木马家族的最新成员之一，采用Visual C++ 6.0编写，并经过加壳保护处理。“163反杀贼”变种运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“tcpip.exe”。自我注册为系统服务，实现“163反杀贼”变种开机自动运行。在被感染计算机系统的后台搜索某些与安全相关的进程，一旦发现便将其强行关闭，达到自我保护的目的。将恶意可执行代码分别注入到系统IE浏览器进程“IEXPLORE.EXE”和系统桌面程序进程“explorer.exe”中，然后调用执行恶意操作。在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取其它恶意程序的加密下载地址列表，然后执行下载“列表”中的全部恶意程序并自动调用安装运行。另外，“163反杀贼”变种具有躲避部分安全软件的查杀和防火墙监控的功能。

 

◆“网游盗号木马78089” 这个盗号木马近来传播趋势较高。毒霸反病毒工程师发现，该毒近来出现大量变种，可能是病毒作者利用自动生成工具批量生成的原因，值得关注。

文件进入系统后，将两个病毒文件释放到系统盘下，分别为%WINDOWS%\下的huifitc.exe，以及%WINDOWS%\system32\目录下的huifitc.dll。其中huifitc.exe是病毒的主文件，会被注入系统注册表，以实现病毒的开机自启动。而huifitc.dll用于执行盗号行为。

当顺利运行起来，病毒就注入系统桌面进程explorer.exe，搜索网游《烽火之旅》、《魔兽世界》，以及“游戏茶苑”，发现后注入其中。如注入成功，就读取帐号和密码，发送到病毒作者指定的地址http:/ /www.ck8***6.com，给用户造成虚拟财产的损失。

 

◆“冒险岛盗号者107664” 此盗号木马利用消息钩子来盗取用户的游戏帐号。所谓的消息钩子，就是在用户与游戏服务器的通讯信息之间建立监视，从其中筛选出帐号与密码信息。

病毒在进入系统后会释放出病毒文件fdght.dll、fjyjy.cfg、fjyjy.dll，它们的相关数据会被添加到注册表启动项中，使病毒实现开机自启动。文件的目录是%WINDOWS%\system32\，习惯手动查杀的用户，注意需将这几个文件删除。

最后，病毒搜寻《冒险岛oline》游戏进程，并将文件注入其中，盗取帐号，然后把赃物通过网页提交的方式发送到 [url]http://www.[/url]******.cn/911qj_tx/200/post.asp这个由病毒作者指定的网址。

 

二、针对以上病毒，51CTO安全频道建议广大用户：

 

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

 

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

 

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

 

截至记者发稿时止，江民、金山的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸为51CTO安全频道提供病毒信息。