Game

　　 瑞星：

　　 瑞星：“武汉热线”、“夸克电影网”等网站被IE0day破绽“台风”挂马

　　 当日平安综述：

　　 据瑞星“云平安”零碎统计，上周末时期，共有1,556,441人次的网民遭到网页挂马攻击，瑞星共截获了243,092个挂马网址。其中“武汉热线游戏频道”和“夸克电影网”曾经被黑客运用最新的IE0day破绽“台风”停止挂马。

　　 当日被挂马网站Top5：

　　 1、“中国园林商情网”：

　　 18yl.18yl.com/MemberCenter/ent/DefaultS5.aspx?guid=e46723b3-3060-44e3-ab15-45bb01d49047，

　　 被嵌入的歹意网址为** org:2000/360/2005/index.html。

　　 2、“MSNCN网站导航论坛”：bbs.msncn.com/forumdisplay.php?fid=17，

　　 被嵌入的歹意网址为** net/uc/data/logs/log.htm??18。

　　 3、“武汉热线游戏频道”：

　　 game.wuhan.net.cn/game/html/cheat/pcgame/20090504/28244.html,

　　 被嵌入的歹意网址为**. cc/data/backup/yx/tt.htm。

　　 4、“江苏互联星空”：mag2.js.vnet.cn，

　　 被嵌入的歹意网址为** com/html/tiyu/zt/wj/index11.htm?54321。

　　 5、“夸克电影网”：quacor.sx.chinanews.com.cn/show.php?contentid=39501，

　　 被嵌入的歹意网址为** cn/images/my/tt.htm?01。

　　 当日最盛行木马病毒：

　　 Backdoor.Win32.Gpigeon2008.fze(灰鸽子后门)“云平安”零碎共收到64656次用户上报。该病毒经过网络传达，病毒会盗窃用户隐私消息，还能够近程掌握用户计算机，给用户计算机平安带来极大损害。

　　 江民：

　　 江民本日提示您留意：在明天的病毒中Trojan/Vilsel.axp“危鬼”变种axp和Trojan/DNSSmokva.am“DNS骗子”变种am值得关心。

　　 英文称号：Trojan/Vilsel.axp

　　 中文称号：“危鬼”变种axp

　　 病毒长度：13948字节

　　 病毒类型：木马

　　 风险级别：★★

　　 影响平台：Win 9X/ME/NT/2000/XP/2003

　　 MD5 校验：d896d1cca5dc9af6e0ee01d9f598a303

　　 特征描绘：

　　 Trojan/Vilsel.axp“危鬼”变种axp是“危鬼”家族中的最新成员之一，采用“Microsoft Visual C++”编写，经过加壳维护处置。“危鬼”变种axp运转后，会在被感染零碎的“%SystemRoot%\system32\”文件夹下创立歹意DLL组件“kb*.dll”(8位随机数)，在零碎暂时文件夹“%USERPROFILE%\Local Settings\Temp\”下创立两个暂时文件，同时还会创立配置文件“%SystemRoot%\system32\wsconfig.db”和“%SystemRoot%\system32\dllcache\bmtpws31.dat”。“危鬼”变种axp会把零碎文件“C:\WINDOWS\system32\imm32.dll”备份为“C:\WINDOWS\system32\imm32.dll.bak”，之后封闭零碎文件维护功用，并修正“imm32.dll”文件的出口代码，以此完成调用病毒组件的手段。在施行病毒组件的同时，其仍会施行零碎组件本身的功用，以此加强了本身的荫蔽性。“危鬼”变种axp开释的DLL是一个特地盗取“梦境诛仙”网络游戏会员账号的木马顺序，其会在被感染零碎的后台机密监视用户零碎中运转的一切使用顺序的窗口标题，然后应用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数目、仓库密码等消息，并在后台将窃得的消息发送到骇客指定的页面“http://denglu.foxye**oxox.com:8085/lin.asp”上(地址加密寄存)，以致网络游戏玩家的游戏账号、配备、物品、金钱等丧失，给游戏玩家形成了不同水平的丧失。另外，“危鬼”变种axp在装置终了后会将自我删除，以此消弭踪迹。

　　 英文称号：Trojan/DNSSmokva.am

　　 中文称号：“DNS骗子”变种am

　　 病毒长度：20992字节

　　 病毒类型：木马

　　 风险级别：★

　　 影响平台：Win 9X/ME/NT/2000/XP/2003

　　 MD5 校验：66d386e50d39caf7407a0c55aa45a832

　　 特征描绘：

　　 Trojan/DNSSmokva.am“DNS骗子”变种am是“DNS骗子”家族中的最新成员之一。“DNS骗子”变种am会经过修正注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”下相关键值的方式，完成窜改零碎DNS设置的手段。其会将“外地衔接”的DNS效劳器地址设置为“85.255.*.85”(首选)和“85.255.112.236”(备用)，当被感染零碎用户在提交域名时，能够会被该DNS效劳器停止歹意解析，从而被指导至歹意站点上，以致用户面临极大的风险和要挟。

　　 卡巴斯基：

　　 卡巴斯基：警觉后门木马荫蔽手腕晋级

　　 经过多年的开展，很多歹意顺序曾经练就出一套躲藏本身，防止被发觉的身手。这些手腕包括冒充零碎普通文件、将本身设置为躲藏属性，以至以效劳方式发动等等。卡巴斯基实验室近期检测到一种名为“刀疤”木马(Trojan.Win32.Scar.baao)的变种，就采用了上述多种手腕维护本人。首先，感染零碎后，木马会开释一个名为WinHelp32.exe的文件到零碎文件夹，并删除木马本身。实在Windows零碎真正的协助文件称号应为为winhlp32.exe，木马开释的文件充任了“李鬼”的角色。不只如此，这个冒充的文件还会将本身设置为躲藏属性，普通用户很难发觉。顺序运转后，会调用services.exe加载本身为效劳项，然后经过修正和调用svchost.exe进程，拜访近程效劳器，乘机承受近程指令，下载更多歹意顺序到受感染计算机，给计算机平安形成严重隐患。

　　 目前，卡巴斯基已能够胜利查杀 “刀疤”木马及其变种，我们倡议您尽快更新病毒库停止查杀以防止不用要的丧失。

(旧事稿 2010-01-19)