gojoy's blog

51CTO安全频道今日提醒您注意：在明天的病毒中“传奇窃贼”变种gwj、“代理木马”变种ib、“FTP资源吸血鬼135168”、“武装下载器114688”和“Win32/Tonveck.A”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“传奇窃贼”变种gwj是“传奇窃贼”木马家族的最新成员之一，由其它病毒释放出来的病毒组件，一般会被释放到系统文件夹下，采用Delphi编写。“传奇窃贼”变种gwj运行后，自我注册为系统服务，实现木马开机自动运行。在被感染计算机系统后台秘密监视用户打开的窗口标题，一旦发现用户打开网络游戏《热血传奇》的登陆窗口，便通过HOOK技术和内存截取技术监视用户的键盘和鼠标操作，窃取用户输入的账号及密码等信息。自动获取《热血传奇》玩家的身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来不同程度的损失。“传奇窃贼”变种gwj还会在被感染计算机上下载更多的网游木马，给网络游戏玩家带来非常大的损失。

◆“代理木马”变种ib是“代理木马”木马家族的最新成员之一，采用javascript脚本语言编写，并且代码经过多层不同种类算法的加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“代理木马”变种ib一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种ib的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

◆“FTP资源吸血鬼135168” 此病毒拥有多个变种，且非常狡猾，它会伪装成Adobe Flash Player、Sun Java以及Windows操作系统的安全升级补丁。欺骗用户下载和复制。由于最近Flash漏洞问题对电脑安全影响较大，电脑用户们纷纷寻找升级补丁，这样一来，该毒变得更容易得手。

如果进入电脑系统，它就会释放出病毒文件、设置自己为开机自启动，然后弹出相应的提示，欺骗用户说安全补丁已经安装。

而实际上，病毒这时候已经运行起来。它在系统盘中读取%Document and Settings%\当前用户\Application Data\ 和 %Document and Settings%\All Users\Application Data\ 两个路径，并进一步从它们的下层路径里读取一些关键文件，从中获知用户系统中安装的FTP软件及其版本号（比如CuteFTP这样的工具）。

接着，它读取 %WINDOWS%\目录下的win.ini文件，从中获取另一个FTP相关文件的路径，然后读取该文件中所记录的FTP连接地址、用户名和密码信息。同时，它还会记录用户系统中与FTP有关的网页记录，将这些信息同之前偷到的信息一起，写入%WINDOWS%\目录下一个名为db32.txt的文档中，发送到病毒作者指定的地址。

毒霸可以完全查杀该毒。如果是习惯手动杀毒的用户，可以在%WINDOWS%\system32\目录中找到病毒主文件aspimgr.exe，而配置文件ws386.ini、db32.txt、s32.txt则在%WINDOWS%目录下。这些病毒文件都经过了加密。

◆“武装下载器114688” 这个下载器程序具有一定的对抗能力，如果它进入系统，就破坏多款安全软件的运行，然后执行盗号。

它进入系统后首先释放出自己的病毒文件，文件有两个，一个是%WINDOWS%\system32\目录下的wininnet.nls，另一个是系统临时目录%temp%目录下的orz.exe。接着，就通过修改注册表中的数据，劫持系统中已安装的卡巴斯基、NOD32、毒霸等杀毒软件。

同时，它随机生成以6个字符命名的驱动文件，如生成随机字符失败则使用指定的字符“cafesvr”，创建驱动文件，再利用这个驱动去关闭其它厂家的安全软件的进程。部分具有所谓主动防御功能的杀毒软件，在此毒的进攻中将被解除武装，因为病毒会恢复系统SSDT表。

当执行完以上步骤，病毒就连接病毒作者指定的远程地址，下载一份病毒列表，以config.ini的名称保存到%WINDOWS%\system32\目录下。然后根据其中的地址下载更多其它病毒到用户电脑中执行。经毒霸反病毒工程师检查，这些病毒主要是网游盗号木马。

◆Win32/Tonveck.A 是一种感染文件的蠕虫，通过移动驱动器和共享驱动器传播。病毒还会利用MS07-017漏洞下载恶意内容。

运行时，Win32/Tonveck.A 生成%System%\sysload3.exe。
随后蠕虫修改以下注册表，为了在每次系统启动时运行病毒：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\System Boot Check = "%System%\sysload3.exe"
蠕虫将JavaScript编码注入到找到的script文件，JavaScript代码包含一个指向microfsot.com域名的连接，连接地址内容试图利用ms07-017的系统漏洞。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、金山、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰为51CTO安全频道提供病毒信息。