12月16日病毒预警：严防蠕虫的变种病毒

    在今日的病毒中“卡布虫”变种r、“魔兽”变种aur和“代理蠕虫变种SJ”变种都值得关注。

　　一、今日高危病毒简介及中毒现象描述：

　　“卡布虫”变种r是“卡布虫”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“卡布虫”变种r运行后，会自我复制到被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下，重新命名为“svchost.exe”。通过在注册表启动项中添加键值的方式，实现蠕虫的开机自动运行。遍历被感染计算机的C到G驱动器，搜索有效的网络共享文件夹。如果发现存在“.RAR”和“.ZIP”扩展名的压缩文件，则会将自身任意命名为“Setup.exe”、“Install.exe”或“_Run_Me_First.exe”，写入所发现的压缩文件中，实现网络共享传播。另外，该蠕虫不会进行重复感染，某些情况下会将被感染的压缩文件复制到其它目录中并重命名为“<原压缩文件名> updated-fixed Release <系统月>-<系统年>.rar”。

　　“魔兽”变种aur是“魔兽”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“魔兽”变种aur运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下释放恶意DLL文件“textfont.dat”和“LPK.dll”，并将真正的系统文件“%SystemRoot%\system32\LPK.dll”复制到临时文件夹，并重新命名为“LOOPARK.dat”。“魔兽”变种aur所释放的组件“textfont.dat”是一个专门盗取“传奇2”网络游戏会员账号的木马程序，会被插入到“explorer.exe”及其所有的用户级权限的进程中加载运行。运行后会通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“魔兽”变种aur运行后还会在后台监视系统中正在运行的所有进程，一旦发现某些杀软的监控存在便直接退出运行，不会进行木马释放等一系列后续操作。

　　“代理蠕虫变种SJ(Worm.Win32.VB.sj)”该病毒是由VB编写，一个文件夹类似的图标，病毒运行后会在系统根目录下复制大量的自己，并且命名为不同的名字，还会替换一些系统文件。会在根目录下释放Autorun.inf，当在打开Windows目录和system32目录的时候，病毒会关闭这个文件夹，不让访问，以躲避手工杀毒。病毒会修改开始菜单的位置，当鼠标放到这个开始菜单上时，这个菜单会随机移动，不让点击。病毒还会修改大量注册表，以实现开机启动目的。病毒会修改IE主页，以达到下载新病毒的目的，使用户容易反复感染，很难彻底清除。

　　二、针对以上病毒，比特网安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

　　截至记者发稿时止，江民、瑞星的病毒库均已更新，并能查杀上述病毒。感谢江民科技、瑞星科技为比特网安全频道提供病毒信息。

【我要评论】

【大 中 小】 【打印】