小心“流量突击兵cub” 谨防“牧童”变种f

安全在线7月9日报道 病毒提醒：今日病毒中"焦点间谍"变种es、"牧童"变种fj、 "下载者木马xwr"和"流量突击兵cub"都值得关注。

一、今日高危病毒简介及中毒现象描述：

"焦点间谍"变种es是"焦点间谍"木马家族的最新成员之一，采用Delphi编写，由其它木马释放出来的木马功能组件，一般被注入到"IEXPLORE.EXE"进程中加载运行，隐藏自我，防止被查杀。"焦点间谍"变种es运行后，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。在被感染的计算机上搜索与安全相关的软件，一旦发现便强行将其关闭，大大降低了被感染计算机上的安全性。在后台连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行，给用户带来极大的的危害。另外，"焦点间谍"变种es还会在各个盘符根目录下创建"autorun.inf"文件和木马程序文件"auto.exe"，达到双击盘符启动"焦点间谍"变种es运行的目的。

"牧童"变种fj是"牧童"木马家族的最新成员之一，采用高级语言编写。"牧童"变种fj运行后，在被感染计算机系统的"%SystemRoot%system32"目录下释放病毒组件，文件名由随机六位小写字母组成。将释放的病毒组件注册为系统服务，实现木马开机自动运行。将病毒代码注入"svchost.exe"进程中运行，隐藏自我，躲避安全软件的查杀。与骇客指定的服务器建立网络连接，骇客可通过"牧童"变种fj远程完全控制用户计算机，进行的恶意操作包括：文件操作、进程操作、注册表操作、服务操作、屏幕监控，键盘记录、摄像头抓图、命令操作等，给用户的个人隐私，甚至商业机密造成严重威胁。

"下载者木马xwr"该病毒为下载类木马，病毒运行后，衍生病毒文件DesktopWin.dll到%Windir%AppPatch下；新增注册表项，创建CLSID值，添加启动项，在ShellServiceObjectDelayLoad键下添加DesktopWin键值，当系统启动时利用Explorer.exe进程自动加载病毒组件，并查找此键下是否存在JavaView键值，若存在，便删除；以命令行方式调用rundll32.exe，由rundll32.exe创建%Windir%AppPatchAclLayer.dll文件；当该病毒执行完自身代码后，会结束自身进程，在%System32%下衍生unxxx.bat，目的是为了删除该病毒文件和自身；连接网络，下载大量病毒文件并在本机运行。

"流量突击兵cub" 该病毒属于刷流量类木马，病毒运行后，判断当前程序的文件名和路径是否为%System32%XP-C300C3AC.EXE,如果不是该路径和文件名，将调用资源管理器打开当前目录下和自己同名的文件夹；若文件夹不存在将弹出无法找到文件夹的错误提示，复制自身到%System32%目录下，并衍生病毒配置文件以及易语言运行所需要的库文件；修改注册表添加启动项，使病毒文件随系统启动而运行；连接网络访问指定站点，为被访问的网站刷流量；被感染计算机接入移动磁盘后，病毒进程将遍历移动磁盘根目录下的文件夹，衍生自身到移动磁盘根目录下，更名为检测到的文件夹名称，修改原文件夹属性为隐藏，使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒， 以达到移动磁盘传染病毒的目的；病毒运行完毕后删除自身。

被刷网站（http://hi.baidu.com/******oyou）约以每秒10次访问量的速度刷新，其中一篇帖子的访问量高达500，000以上，对网络的正常有比较严重的影响

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民、安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技和安天为51CTO安全频道提供病毒信息。

未经允许不得转载：DOIT » 小心“流量突击兵cub” 谨防“牧童”变种f