11日病毒预报：当心“初始页” 小心木马变种

电脑159今日提醒您注意预防：在明天的病毒中“魔兽”最新变种ati、“初始页”最新变种bec、“代理下载者木马vhb”和“百变木马最新变种sbyr”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“魔兽”最新变种ati是“魔兽”木马家族的最新成员之一，采用高级语言编写，由其它木马程序释放出来的的木马功能组件，一般被注入到所有进程中加载运行，隐藏病毒程序，躲避安全软件的查杀。“魔兽”最新变种ati运行后，一旦发现自己运行于“pol.exe”进程内部便通过HOOK技术和内存截取技术监视用户的键盘和鼠标操作，窃取用户输入的账号及密码等信息。在被感染计算机的系统后台盗取《最终幻想》网络游戏玩家的登陆帐号、登陆密码，并以表单的形式提交到骇客指定站点，造成玩家的游戏帐号、装备物品、金钱等丢失，给玩家带来不同程度的损失。另外，“魔兽”最新变种ati还会在被感染计算机上下载更多的恶意程序、网游木马等，给网络游戏玩家带来非常大的损失。

◆“初始页”最新变种bec是“初始页”木马家族的最新成员之一，采用VC编写，未经过加壳保护处理。“初始页”最新变种bec是由其它木马释放出来的DLL组件，一般通过注册为系统服务来实现开机自动运行。“初始页”最新变种bec运行后，修改hosts文件，删除某些被屏蔽的恶意网址，这样被感染计算机系统就能够访问某些含有恶意软件、广告的站点。在计算机得后台访问网址“http://9**xz.cn/wi*sl**.txt”，获取指定站点的列表并访问这些站点，以此增加某些站点的访问量，提升这些站点在百度、ALEXA的网站排行，获取利益。另外，“初始页”最新变种bec还会自升级。

◆“代理下载者木马vhb”该病毒为下载类木马；病毒运行后，在%HomeDrive%下新建一个名称为6位随机数字含有隐藏属性的文件夹，并在此文件夹下建立一个名称为6位随机数字的批处理文件；修改注册表，锁定“不显示隐藏的文件和文件夹”选项，其目的让隐藏的病毒文件不可见；连接网络，首先下载病毒列表文件updata.txt，然后对照updata.txt列表内容来下载大量病毒文件并在本机运行；该病毒在实现完自身代码后后，会结束自身进程，最后利用批处理文件来删除自身。

◆“百变木马最新变种sbyr”该病毒为木马。其目的是盗取传奇世界游戏账号密码和密保卡信息。病毒运行后修改注册表，在Windows程序初始化中添加大量病毒项，可以看出此木马同时为其它同类病毒的辅助，负责添加启动项。病毒首先释放fghdd.dll并在内存加载，随之fghdd.dll释放dfxh.dll  vfdh.dll，使用psapi.dll中的EnumProcessModules进行进程和进程模块枚举，用GetModuleFileNameExA获得ANSI字符串方式模块进程名；将释放文件插入到Explorer.exe和Spoolsv.exe中，用以监视新的进程的启动。利用SetWindowsHookExA设置全局键盘钩子；用ZwTerminateProcess保护自身不被结束；监视woool.dat进程如有利用SendMessageW和PostMessageA发送断线消息或禁止玩家登陆。病毒运行后删除自身。

二、针对以上病毒，电脑159建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，江民科技、安天的病毒库均已更新，并能查杀上述病毒。感谢江民科技科技和安天为电脑159提供病毒信息。