19日病毒预报：网游木马日渐猖獗 当心“布朗克变种”

　　在今天的病毒中“网游窃贼”变种、“Hosts劫持者”变种、“恶意下载者”、“布朗克变种”和“Win32.Mytob.KO”都值得关注。

　　一、今日高危病毒简介及中毒现象描述：　

　　◆“网游窃贼”变种nzq是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写。“网游窃贼”变种nzq运行后，自我插入到被感染计算机系统的所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在后台秘密监视用户打开的窗口标题，盗取网络游戏《完美世界Online》和《剑侠情缘IIOnline》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《完美世界Online》和《剑侠情缘IIOnline》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来不同程度的损失。

　　◆“Hosts劫持者”变种ri是“Hosts劫持者”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“Hosts劫持者”变种ri运行后，自我复制到被感染计算机系统中的指定目录下，并重新命名保存。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台强行篡改系统hosts文件，通过域名映像劫持的方式阻止用户对某些常见安全网站的访问；或者把域名地址指向骇客指定的远程服务器IP地址上，从而提高指定站点的访问量，严重干扰用户的正常上网和操作。

　　◆“恶意下载者”病毒伪装自身图标为系统文件夹图标，以诱使用户点击。病毒衍生下列病毒文件,并在每个盘根目录下衍生AUTORUN.INF文件，当用户双击驱动器盘符时，即执行病毒体以传播自身：%WinDir%scvshosts.exe%WinDir%hinhem.scr%System32%scvshosts.exe%System32%lastclnnn.exe%System32%autorun.ini%System32%setting.ini

　　病毒会创建计划任务，在每天上午的九点开始执行病毒体。

　　◆“布朗克变种”该病毒运行后，衍生病毒文件到多个目录下，添加注册表随机运行项以跟随系统启动。并添计划任务、更改文件执行映射、使用“文件夹”图标欺骗等手段，保证病毒体运行。当病毒运行时，检查是否有不利于病毒的程序存在，如有则重新启动计算机。病毒会禁用注册表，关闭“文件夹选项”，去掉查看隐藏文件设置。搜索本地 E-mail地址发送病毒副本传播。此病毒并不会一次性释放完所有的病毒行为，所以会因为感染的不同程度，感染后的效果也不一样。

　　◆Win32.Mytob.KO是一族使用多种方式传播的蠕虫。Mytob是一种结合邮件的蠕虫，与Mydoom病毒类似，并使用IRC控制后门。通过邮件传播，Mytob变体还可能通过扫描、攻击远程漏洞进行传播。病毒还可能被一个IRC后门控制，与Rbot和Agobot类似。Mytob的一些变体还会带有一个程序，用来通过MSN Messenger 或 Windows Messenger进行传播。

　　二、针对以上病毒，51CTO安全频道建议广大用户：1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。　

　　截至记者发稿时止，江民、安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢江民科技、安天和冠群金辰为51CTO安全频道提供病毒信息。