比特網(wǎng)安全頻道今日提醒您注意：在今日的病毒中“冒牌賊”變種e、“礙路磚”變種c、“腳本下載者NY”和“文件夾模仿者”都值得關(guān)注。

　　比特網(wǎng)綜合報道比特網(wǎng)安全頻道今日提醒您注意：在今日的病毒中“冒牌賊”變種e、“礙路磚”變種c、“腳本下載者NY”和“文件夾模仿者”都值得關(guān)注。

　　一、今日高危病毒簡介及中毒現(xiàn)象描述：

　　“冒牌賊”變種e

　　是“冒牌賊”木馬家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護(hù)處理。“冒牌賊”變種e運(yùn)行后，會在被感染計算機(jī)系統(tǒng)的“C:\ProgramFiles\WAIGUA\”目錄下釋放程序“地下城與勇士.EXE”和“dxwg.exe”。其中“地下城與勇士.EXE”是一個沒有實(shí)際功能的假外掛，而“dxwg.exe”是一個專門竊取“地下城與勇士”網(wǎng)絡(luò)游戲賬號與密碼的木馬程序。該木馬會在被感染系統(tǒng)的“%USERPROFILE%\LocalSettings\Temp\”目錄下釋放惡意DLL組件“SysDir.dat”，文件屬性設(shè)置為“系統(tǒng)、隱藏”。在“地下城與勇士”游戲目錄下釋放冒充系統(tǒng)正常組件“LPK.DLL”的惡意文件，同時復(fù)制系統(tǒng)組件“LPK.DLL”到該目錄下并且重新命名為“DnfText.dll”?！懊芭瀑\”變種e在安裝完畢后便會將自身移動到“%USERPROFILE%\LocalSettings\Temp\”目錄下，重新命名為“DNFupdate.exe”，從而避免被用戶輕易地發(fā)現(xiàn)。網(wǎng)絡(luò)游戲“地下城與勇士”啟動后，會自動加載木馬組件。木馬組件運(yùn)行后會首先確認(rèn)自身是否已經(jīng)被插入到系統(tǒng)桌面進(jìn)程“explorer.exe”和游戲進(jìn)程“DNF.exe”中。如果已經(jīng)插入成功，便會通過安裝鉤子、內(nèi)存截取的方式來盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊得的信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)“http://www.dnf1*9.com/OK/”(地址加密存放)上，致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。

　　“礙路磚”變種c

　　是“礙路磚”木馬家族中的最新成員之一，采用“Microsoft VisualC++6.0”編寫，并且經(jīng)過加殼保護(hù)處理。“礙路磚”變種c運(yùn)行后，會自我復(fù)制到被感染系統(tǒng)的“%USERPROFILE%”、“%SystemRoot%\system32\drivers\”、“%USERPROFILE%\「開始」菜單\程序\啟動\”目錄下，并分別重新命名為“svchost.exe”、“services.exe”、“userinit.exe”。“礙路磚”變種c運(yùn)行時，會強(qiáng)行刪除注冊表中所有的啟動項和瀏覽器輔助對象。在被感染系統(tǒng)的后臺連接駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)“http://be*best.cn/”，下載惡意程序“l(fā)oad.exe”等并自動調(diào)用運(yùn)行，致使用戶面臨更多的威脅。其還會連接“http://stopg*m.cn/”并與該站點(diǎn)交換一些數(shù)據(jù)，由此可能會泄露用戶的一些敏感信息。另外，“礙路磚”變種c會通過在系統(tǒng)注冊表啟動項中添加鍵值“[system]”、“winlogon”、“UserInit”等方式來實(shí)現(xiàn)木馬的開機(jī)自動運(yùn)行。

　　“腳本下載者NY”(js.downloader.ny.225)

　　，這是一個腳本木馬。它含有多款系統(tǒng)漏洞的利用代碼，當(dāng)進(jìn)入電腦后就會制造溢出事件，然后下載病毒作者指定的其它木馬。周末腳本木馬出現(xiàn)了新變化，大批新的腳本下載器突然爆發(fā)，迅速逼近幾個老腳本的名次。而“腳本下載者NY”(js.downloader.ny.225)更是一舉成為腳本木馬中感染量最高者。此毒中含有多款系統(tǒng)安全漏洞的利用代碼，無論是采用掛馬傳播還是別的什么傳播方式，只要它一遇到存在這些漏洞的電腦，就會立即自動運(yùn)行，下載其它的一些下載器，例如廣告程序和遠(yuǎn)程控制程序。突然出現(xiàn)這么多的新腳本木馬，有可能是病毒團(tuán)伙例行制造的“新血液”，但也不排除會是他們找到了某種對抗安全廠商的辦法的可能，毒霸安全專家會繼續(xù)觀察這些新毒的動向，嚴(yán)密保護(hù)用戶的安全。

　　“文件夾模仿者”(win32.troj.fakefoldert.yl.1407388)

　　，此毒為一款可利用U盤傳播的病毒。它將自己的圖標(biāo)偽裝成系統(tǒng)文件夾的樣子，如果用戶不小心點(diǎn)擊運(yùn)行，它就會與黑客遠(yuǎn)程服務(wù)器連接，并執(zhí)行彈廣告窗口的指令。“文件夾模仿者”win32.troj.fakefoldert.yo.1407388依然是感染量最高的病毒，雖然感染量較前日略有下降，但并不影響它的排名。此毒將自己的文件圖標(biāo)偽裝成文件夾的樣子，并隱藏了U盤和系統(tǒng)盤中原本的文件夾，欺騙或迫使用戶點(diǎn)擊。用戶必須點(diǎn)擊它，才能進(jìn)入原先的文件夾。在后臺運(yùn)行起來后，“文件夾模仿者”就與遠(yuǎn)程服務(wù)器建立連接，彈出一系列的廣告窗口，同時，如果黑客愿意的話，它還能幫助黑客夠控制用戶電腦，將用戶電腦變成“肉雞”。

　　二、針對以上病毒，比特網(wǎng)安全頻道建議廣大用戶：

　　1、最好安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控并及時升級病毒代碼庫。建議用戶將一些主要監(jiān)控經(jīng)常打開，如郵件監(jiān)控、內(nèi)存監(jiān)控等，目的是防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機(jī)。

　　2、請勿隨意打開郵件中的附件，尤其是來歷不明的郵件。企業(yè)級用戶可在通用的郵件服務(wù)器平臺開啟監(jiān)控系統(tǒng)，在郵件網(wǎng)關(guān)處攔截病毒，確保郵件客戶端的安全。

　　3、企業(yè)級用戶應(yīng)及時升級控制中心，并建議相關(guān)管理人員在適當(dāng)時候進(jìn)行全網(wǎng)查殺病毒。另外為保證企業(yè)信息安全，應(yīng)關(guān)閉共享目錄并為管理員帳戶設(shè)置強(qiáng)口令，不要將管理員口令設(shè)置為空或過于簡單的密碼。

　　截至記者發(fā)稿時止，江民、金山的病毒庫均已更新，并能查殺上述病毒。感謝江民科技、金山毒霸為比特網(wǎng)安全頻道提供病毒信息。