木马家族添新丁 后门型病毒现身

相关高危病毒介绍：

◆“机器狗”变种h是“机器狗”木马家族的最新成员之一，采用高级语言编写。“机器狗”变种h运行后，在指定目录下释放恶意驱动程序并加载运行。通过恶意驱动程序直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作，从而达到穿透还原软件的目的。感染“explorer.exe”、“userinit.exe”、“regedit.exe”等系统文件，实现“机器狗”变种h开机自启动。恶意驱动程序还能还原系统“SSDT”，致使某些安全软件的防御和监控功能失效。恶意破坏注册表，致使注册表编辑器无法运行。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程，强行将其关闭。修改注册表，利用进程映像劫持功能禁止数百种安全软件及调试工具运行。在被感染计算机系统的后台连接骇客指定站点获取恶意程序列表，下载列表中的所有恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。 

◆“魔兽”变种ate是“魔兽”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“魔兽”变种ate运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放木马程序“wscsvc.exe”，并将其注册为系统服务，实现木马开机自动运行。秘密连接骇客指定站点，骇客可通过“魔兽”变种ate远程完全控制被感染的计算机，进行的恶意操作包括：文件操作、进程操作、注册表操作、服务操作、屏幕监控，键盘记录、命令操作等，给用户的个人隐私，甚至商业机密造成严重威胁。另外，“魔兽”变种ate能够在被感染计算机上查找并强行关闭某些安全软件，导致用户计算机安全失去保障。 

◆“PE木马下载器102400” 这个下载器利用感染其它文件或人工发送的方式传播。当它进入用户电脑、且被激活后，就会立即搜索系统桌面文件explorer.exe，将其感染。当电脑再次启动时，病毒就会随着explorer.exe的启动被激活，它释放正常文件执行，并紧跟着执行自己的文件。 

病毒中设置得有定时器，它每隔一段时间就检查自身附带的网址http://i***e0***.com/p是否可以连接。如果网络连通，病毒就下载一份列表文件，在根据列表中的地址去下载更多其它病毒文件并执行。经毒霸反病毒工程师检查，这些病毒都是各类网游、网银盗窃木马。如果进入系统运行，将可能给用户造成财产损失。 

当运行结束，病毒便生成bat文件，利用它删除自身，销毁作案证据。 

◆“劫持者下载器397312” 最近具有对抗杀毒软件能力的木马下载器又开始出现增多迹象。本篇预警播报中的病毒就是一个对抗型下载器。它和它的若干变种频繁出现于网络中。 

病毒进入电脑后，释放文件ccwlae080420.exe、ccwld32_080420.dll、ccwld16_080420.dll到%WINDOWS%\system32\目录中。如释放成功，则在文件%WINDOWS%目录下生成一个ccwl16.ini文件，并在其中记录相关信息。 

病毒利用映像劫持技术，修改注册表，使目前市面上常见的多款杀毒软件瘫痪，并加载之前释放出的dll文件，修改IE浏览器的默认首页，使得用户在启动IE时，会被引导到病毒作者指定的网站。同时，病毒建立远程连接，下载大量的盗号木马。 

该毒以及它所下载的木马，都会被毒霸完全清楚，已安装毒霸的用户可以放心。 

◆“av劫持者pu” 该病毒为蠕虫木马类，病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯基杀毒软件），如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效，遍历System32目录查找\s*st.exe的文件，找到svchost.exe文件后，创建一个进程并调用ReadProcessMemory函数读写该进程内存，调用ZwUnmapViewOfSection获取当前进程映射的基址，然后调用WriteProcessMemory函数对内存地址写入病毒数据，创建注册表病毒服务项、映像劫持多款安全软件，目的使系统安全性降低，连接网络读取列表下载大量恶意文件并运行，给用户清除病毒带来极大的不便。 

◆“U盘寄生虫变种egq” 该病毒属蠕虫类，病毒运行后，复制自身到各驱动器根目录和%System32%下，更名为nktokedn.exe，并衍生autorun,inf文件，复制自身到%System32%下，更名为nfpdduax.exe；并在%System32%下衍生病毒文件，修改注册表，添加两处启动项，针对安全软件添加大量映像劫持；修改注册表，将部分服务的启动方式设置为“已禁用”，使“文件夹选项”中“隐藏受保护的操作系统文件（推荐）”选项不可见，将隐藏文件的显示方式更改为“不显示隐藏文件和文件夹”；删除相关注册表项，使文件夹选项中“显示隐藏文件和文件夹选项” 不可见,删除注册表安全模式启动下驱动加载项，使感染机器无法启动安全模式;连接网络下载病毒文件并运行， 病毒运行完毕后，删除自身。 

文章原地址：http://netsecurity.51cto.com/art/200807/79526.htm