5月9日病毒預(yù)警：小心木馬來襲

　　【比特網(wǎng)綜合報道】比特網(wǎng)安全頻道今日提醒您注意：在今日的病毒中“代理木馬”變種bxxu和“QQ大盜”變種vvy都值得關(guān)注。

　　一、今日高危病毒簡介及中毒現(xiàn)象描述：

　　“代理木馬”變種bxxu是“代理木馬”家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫?！按砟抉R”變種bxxu運行后，會自我復(fù)制到被感染計算機系統(tǒng)的“%SystemRoot%system32”目錄下，重新命名為“jydk.exe”(文件屬性為“系統(tǒng)、隱藏”)。在被感染計算機的后臺遍歷當前系統(tǒng)中所有正在運行的進程，一旦發(fā)現(xiàn)指定的安全軟件存在，便會通過調(diào)用批處理指令等方式來試圖結(jié)束這些安全軟件的運行，從而達到了自我保護的目的?！按砟抉R”變種bxxu運行時，會在被感染計算機系統(tǒng)的后臺連接駭客指定的遠程服務(wù)器站點“http://jueyeshen.33*.org”，讀取配置文件，并根據(jù)配置文件中的設(shè)置對指定的IP地址及端口不斷發(fā)送連接請求，以此進行DDos攻擊，大大地消耗了被攻擊計算機的網(wǎng)絡(luò)帶寬和系統(tǒng)資源，致使被攻擊者蒙受不同程度的損失。同時，“代理木馬”變種bxxu還會根據(jù)配置文件下載惡意程序并自動調(diào)用運行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多不同程度的威脅?！按砟抉R”變種bxxu會在被感染計算機中注冊名為“jydk”的系統(tǒng)服務(wù)，以此實現(xiàn)木馬的開機自啟。

　　“QQ大盜”變種vvy是“QQ大盜”盜號木馬家族中的最新成員之一，采用“Borland Delphi 6.0 - 7.0”編寫，并且經(jīng)過加殼保護處理?！癚Q大盜”變種vvy是一個通過彈出仿冒“QQ”中獎消息窗口來誘騙用戶上當，從而實施網(wǎng)絡(luò)詐騙的木馬程序?！癚Q大盜”變種vvy運行后，會將惡意代碼注入到“explorer.exe”進程中隱密運行。遍歷當前系統(tǒng)中所有正在運行的進程，一旦發(fā)現(xiàn)指定的安全軟件存在時，便會嘗試將其結(jié)束。利用文件映像劫持功能，干擾安全軟件的正常運行，從而使得系統(tǒng)失去安全軟件的防護，增加了遭受病毒侵害的風險。“QQ大盜”變種vvy運行時，會在系統(tǒng)托盤區(qū)域模仿“QQ”廣播的“喇叭”圖標閃爍，用戶點擊后將彈出虛假的中獎提示窗口，進一步地將用戶引導(dǎo)至釣魚網(wǎng)站“http://qq10000*qq.com.cn”的指定頁面并實施詐騙。同時，該網(wǎng)站可能還存在網(wǎng)頁掛馬等惡意行為，從而使得被感染計算機用戶面臨更多的威脅?！癚Q大盜”變種vvy還會向駭客指定的站點“http://www.dgrgds*.cn/install.asp”反饋用戶的感染情況及計算機信息，并會通過在注冊表啟動項中添加鍵值“QQ10000”的方式來實現(xiàn)開機后的自動運行。

　　二、針對以上病毒，比特網(wǎng)安全頻道建議廣大用戶：

　　1、最好安裝專業(yè)的殺毒軟件進行全面監(jiān)控并及時升級病毒代碼庫。建議用戶將一些主要監(jiān)控經(jīng)常打開，如郵件監(jiān)控、內(nèi)存監(jiān)控等，目的是防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

　　2、請勿隨意打開郵件中的附件，尤其是來歷不明的郵件。企業(yè)級用戶可在通用的郵件服務(wù)器平臺開啟監(jiān)控系統(tǒng)，在郵件網(wǎng)關(guān)處攔截病毒，確保郵件客戶端的安全。

　　3、企業(yè)級用戶應(yīng)及時升級控制中心，并建議相關(guān)管理人員在適當時候進行全網(wǎng)查殺病毒。另外為保證企業(yè)信息安全，應(yīng)關(guān)閉共享目錄并為管理員帳戶設(shè)置強口令，不要將管理員口令設(shè)置為空或過于簡單的密碼。

　　截至記者發(fā)稿時止，江民的病毒庫已更新，并能查殺上述病毒。感謝江民科技、瑞星科技、安天實驗室為比特網(wǎng)安全頻道提供病毒信息。