1月25日,江民全球病毒監控系統、云安全防毒系統監測數據顯示,有越來越多的病毒采用了全新的欺騙方式,偽裝成IE快捷方式和文件夾已經成為一種新的趨勢。
江民反病毒中心最新監測到的“BHO劫持者”變種aie和“代理木馬”變種cbnq病毒,就采用了偽裝成IE快捷方式和文件夾的欺騙方式。“BHO劫持者”變種aie運行后,會將自身復制到被感染計算機系統的“\Program Files\Internet Explorer\”文件夾下,并重命名為“mstcs.exe”,該病毒的主程序為深藍色IE瀏覽器水晶效果圖標,以達到自我偽裝的目的,防止被用戶發現。同時病毒會在當前用戶桌面上創建IE快捷方式“internet explorer.lnk”,用戶一旦啟動IE瀏覽器,會默認自動打開駭客設置好的惡意網頁“http://***.77177.cn”,并在后臺獲取“惡意程序下載地址列表”,然后在被感染計算機上下載該文件中所指定的惡意程序并自動調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。
“代理木馬”變種cbnq病毒運行后,會在被感染計算機系統的“%SystemRoot%\system32\”文件夾下分別釋放惡意組件文件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。同時強行篡改被感染計算機系統中的注冊表項,使IE瀏覽器啟動后自動訪問駭客指定的站點“http://***.771234.net”。“代理木馬”變種病毒還會將系統盤以外的所有盤符下的文件夾屬性都設置為系統、只讀、隱藏,并在當前目錄下生成一個與被隱藏的文件夾同名的“.exe”病毒程序,同時顯示為文件夾圖標。通過這樣的偽裝后,用戶在打開文件夾時,實際上運行的就是病毒程序,然后病毒再把用戶當前要打開的文件夾自動打開,從而達到了欺騙用戶的目的。與“BHO劫持者”變種病毒一樣,該病毒最終也是指向駭客指定的惡意網址,并下載大量惡意程序,嚴重威脅用戶安全。
據江民反病毒專家介紹,近年來隨著用戶安全意識的不斷提高,病毒為了提高自身的生存幾率,也在不斷的改變著偽裝方式。“從分析09年的病毒中我們可以看出,偽裝成快捷方式,尤其是IE快捷方式和偽裝成文件夾的病毒越來越多,并已經逐漸形成一種新的趨勢。通常情況下,病毒入侵到用戶的電腦后,想讓用戶去點擊運行病毒是很難的,這就需要病毒做好自身的偽裝工作,來誘騙用戶點擊。而偽裝成快捷方式,一般不會被人懷疑,同時中毒后,病毒文件也不易被用戶察覺,因此病毒的隱蔽性就更強了”。
針對此類病毒,江民反病毒專家建議廣大用戶,不要被病毒偽裝的表象所迷惑,一定要安裝具備主動防御“沙盒技術”和啟發式掃描功能的正版殺毒軟件,該功能可以有效、準確地識別各類偽裝病毒,確保用戶電腦免遭病毒侵害。同時建議用戶開啟江民殺毒軟件KV2010的系統監控功能,該功能可對病毒試圖下載惡意程序、強行篡改系統時間、注入進程和調用其它惡意程序等行為進行監控并自動干預、處理,有效地遏制了未知病毒對系統所造成的干擾和破壞,更大程度的提高了計算機對于未知病毒的防范能力。
(新聞稿 2010-01-26)