5月10日病毒預(yù)警：謹(jǐn)防“喪星”后門(mén)木馬

　　【比特網(wǎng)綜合報(bào)道】比特網(wǎng)安全頻道今日提醒您注意：在今日的病毒中“喪星”變種at和“瑪格尼亞”變種qcu都值得關(guān)注。

　　一、今日高危病毒簡(jiǎn)介及中毒現(xiàn)象描述：

　　“喪星”變種at是“喪星”后門(mén)家族中的最新成員之一，采用“Borland Delphi 6.0 - 7.0”編寫(xiě)。“喪星”變種at運(yùn)行后，會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“C:Program FilesCommon FilesMicrosoft SharedMSInfo”目錄下，重新命名為“re2009.exe”，并設(shè)置文件屬性為“系統(tǒng)、隱藏”?！皢市恰弊兎Nat運(yùn)行后，會(huì)將惡意代碼注入到“iexplorer.exe”的內(nèi)存空間中隱秘運(yùn)行。在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)連接駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)“http://girl15*.cn/”，讀取配置文件“..ip.txt”，然后不斷嘗試與控制端(即配置文件中指定的IP地址)進(jìn)行連接。一旦連接成功，則被感染的計(jì)算機(jī)便會(huì)淪為駭客的傀儡主機(jī)。駭客可以向被感染的計(jì)算機(jī)發(fā)送惡意指令，從而執(zhí)行任意的控制操作，其中包括：文件管理、進(jìn)程控制、注冊(cè)表操作、遠(yuǎn)程命令執(zhí)行、屏幕監(jiān)控、鍵盤(pán)監(jiān)聽(tīng)、鼠標(biāo)控制、視頻監(jiān)控等，給被感染計(jì)算機(jī)用戶(hù)的個(gè)人隱私甚至是商業(yè)機(jī)密均會(huì)造成不同程度的損失。同時(shí)，駭客還可以向傀儡主機(jī)發(fā)送大量的病毒、木馬、流氓軟件等惡意程序，從而給用戶(hù)構(gòu)成了更加嚴(yán)重的威脅。“喪星”變種at會(huì)在被感染計(jì)算機(jī)中注冊(cè)名為“d”的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)后門(mén)的開(kāi)機(jī)自啟。

　　“瑪格尼亞”變種qcu是“瑪格尼亞”盜號(hào)木馬家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫(xiě)，是一個(gè)由其它惡意程序釋放出來(lái)的DLL功能組件，經(jīng)過(guò)加殼保護(hù)處理?！艾敻衲醽啞弊兎Nqcu是一個(gè)專(zhuān)門(mén)盜取“完美國(guó)際”、“誅仙”、“武林外傳”、“口袋西游”、“赤壁”等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，通過(guò)瀏覽器鉤子隨IE瀏覽器的啟動(dòng)而加載運(yùn)行。截取用戶(hù)輸入的用戶(hù)名、密碼及密碼保護(hù)卡數(shù)據(jù)等信息，并在后臺(tái)將竊取到的這些機(jī)密信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上(地址加密存放)，致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)丟失，給游戲玩家造成了不同程度的損失。“瑪格尼亞”變種qcu會(huì)修改注冊(cè)表鍵“ShellExecuteHooks”的鍵值，以此實(shí)現(xiàn)木馬的開(kāi)機(jī)自動(dòng)運(yùn)行。

　　二、針對(duì)以上病毒，比特網(wǎng)安全頻道建議廣大用戶(hù)：

　　1、最好安裝專(zhuān)業(yè)的殺毒軟件進(jìn)行全面監(jiān)控并及時(shí)升級(jí)病毒代碼庫(kù)。建議用戶(hù)將一些主要監(jiān)控經(jīng)常打開(kāi)，如郵件監(jiān)控、內(nèi)存監(jiān)控等，目的是防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶(hù)計(jì)算機(jī)。

　　2、請(qǐng)勿隨意打開(kāi)郵件中的附件，尤其是來(lái)歷不明的郵件。企業(yè)級(jí)用戶(hù)可在通用的郵件服務(wù)器平臺(tái)開(kāi)啟監(jiān)控系統(tǒng)，在郵件網(wǎng)關(guān)處攔截病毒，確保郵件客戶(hù)端的安全。

　　3、企業(yè)級(jí)用戶(hù)應(yīng)及時(shí)升級(jí)控制中心，并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒。另外為保證企業(yè)信息安全，應(yīng)關(guān)閉共享目錄并為管理員帳戶(hù)設(shè)置強(qiáng)口令，不要將管理員口令設(shè)置為空或過(guò)于簡(jiǎn)單的密碼。

　　截至記者發(fā)稿時(shí)止，江民的病毒庫(kù)已更新，并能查殺上述病毒。感謝江民科技、瑞星科技、安天實(shí)驗(yàn)室為比特網(wǎng)安全頻道提供病毒信息。