"威金"後台盜號 代理木馬利用聯眾漏洞傳播

【賽迪網-IT技術報道】據江民反病毒中心監測資料顯示，上周該中心共截獲新病毒18969種，全國共有359761台計算機感染了病毒，較前一周上升了7.29%。其中盜號類病毒及利用應用軟體漏洞傳播的病毒均有小幅上升趨勢，用戶應提高警惕。

值得引起關注的是，上周監測到的「威金」變種bab病毒，該病毒不僅能夠在被感染計算機的後台監視用戶的鍵盤和鼠標操作，盜取《黃易群俠傳》、《天堂Ⅱ》、《魔獸世界》等多款網絡遊戲玩家的帳號、密碼等私密信息，同時還能查找並強行關閉大量安全軟體（無法關閉江民殺毒軟體KV2008），阻止安全軟體的運行，極大地降低被感染計算機的安全性。

另外上周還監測到一個可以利用應用軟體漏洞傳播的「代理木馬」變種im病毒，該病毒會內嵌在正常網頁中，如果用戶計算機沒有及時升級修補「聯眾世界」以及「Real Player媒體播放器」相應的漏洞補丁，那麼當用戶使用瀏覽器訪問帶有「代理木馬」變種im的惡意網頁時，就會在當前用戶計算機的後台連接駭客指定站點，下載大量網游木馬、後門等惡意程序並在被感染計算機上自動調用運行，給用戶帶來嚴重的損失。

江民反病毒專家建議廣大用戶，一定要選用具備「主動防禦」和「自我保護」功能的殺毒軟體，上網時要開啟江民殺毒軟體的實時監控功能，在輸入網上銀行、網絡遊戲等帳號密碼時，可以使用「江民密保」等專業工具，有效保護網上銀行、支付平台、網上證券交易、網絡遊戲等賬號密碼，全面保護用戶私密信息。同時江民反病毒專家特別指出，江民殺毒軟體KV2008擁有強大的自我保護技術，能夠利用驅動程序在系統最底層提供強大而全面的保護，該保護措施阻止了目前所有已知的破壞手段，保證了軟體的順利運行。

上周值得關注的典型病毒：

「威金」變種bab和「代理木馬」變種im

病毒名稱：Worm/Viking.bab

中 文 名：「威金」變種bab

病毒長度：30549字節

病毒類型：蠕蟲

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Worm/Viking.bab「威金」變種bab是「威金」蠕蟲家族的最新成員之一，採用高級語言編寫，並經過添加保護殼處理。「威金」變種bab是由「威金」病毒主體釋放出來的DLL組件，通過修改註冊表實現蠕蟲開機自動運行。「威金」變種bab運行後，在臨時文件夾下釋放一個驅動文件並加載運行。啟動「iexplore.exe」進程，將惡意代碼注入其中運行，隱藏自身，躲避安全軟體的查殺。查找並強行關閉大量安全軟體，阻止安全軟體的運行，極大地降低了被感染計算機的安全性。採用HOOK技術和記憶體截取技術，在被感染計算機的後台監視用戶的鍵盤和鼠標操作，盜取《黃易群俠傳》、《天堂Ⅱ》、《魔獸世界》等多款網絡遊戲玩家的遊戲帳號、遊戲密碼、身上裝備、背包裝備、角色等級、遊戲區服、計算機名稱等信息，並在被感染計算機的後台將竊取到的玩家遊戲帳號信息發送到駭客指定的遠程伺服器站點上，造成玩家的遊戲帳號、裝備物品、金錢等丟失。

病毒名稱：TrojanDownloader.JS.Agent.im

中 文 名：「代理木馬」變種im

病毒長度：3181字節

病毒類型：木馬下載器

危害等級：★

影響平台：Win 9X/ME/NT/2000/XP/2003

TrojanDownloader.JS.Agent.im「代理木馬」變種im是「代理木馬」木馬下載器家族的最新成員之一，採用javascript腳本語言編寫，並且經過加密處理，利用「聯眾世界」中某ActiveX控件棧溢出漏洞以及「Real Player媒體播放器」漏洞傳播其它病毒。「代理木馬」變種im一般內嵌在正常網頁中，如果用戶計算機沒有及時升級修補「聯眾世界」以及「Real Player媒體播放器」相應的漏洞補丁，那麼當用戶使用瀏覽器訪問帶有「代理木馬」變種im的惡意網頁時，就會在當前用戶計算機的後台連接駭客指定站點，下載大量惡意程序並在被感染計算機上自動調用運行。其中，所下載的惡意程序可能為是網游木馬、惡意廣告程序、後門等，給用戶帶來不同程度的損失。

(