桌面幽靈”奇襲互聯(lián)網(wǎng) 綜合磁碟機(jī)等多種病毒特征

gao0907

桌面幽靈”奇襲互聯(lián)網(wǎng) 綜合磁碟機(jī)等多種病毒特征
4月30日，江民反病毒中心發(fā)出緊急病毒警報(bào)，一種名為“桌面幽靈”的新病毒開始出現(xiàn)在互聯(lián)網(wǎng)上，目前已有數(shù)百名用戶上報(bào)電腦受該病毒感染。病毒綜合了“磁碟機(jī)”“系統(tǒng)殺手”“ARP殺手”“機(jī)器狗”等多種惡意病毒特征于一體，不但會(huì)關(guān)閉多數(shù)殺毒軟件，還會(huì)在后臺竊取網(wǎng)游帳號密碼、彈出惡意廣告，嚴(yán)重危害電腦用戶的系統(tǒng)和使用安全。
江民反病毒專家介紹，“桌面幽靈”系一種木馬下載器蠕蟲。病毒運(yùn)行后，首先會(huì)將惡意代碼注入到系統(tǒng)“svchost.exe”進(jìn)程中，實(shí)現(xiàn)反安全軟件的功能。然后，病毒會(huì)在用戶電腦臨時(shí)文件夾中釋放安裝3個(gè)帶有“wxp2ins”字樣的惡意驅(qū)動(dòng)程序，來破壞計(jì)算機(jī)的安全防護(hù)機(jī)制。最后利用惡意磁盤過濾驅(qū)動(dòng)程序去覆蓋“explorer.exe”系統(tǒng)桌面程序，借助該程序去實(shí)現(xiàn)開機(jī)自啟動(dòng)，下載包括“系統(tǒng)殺手”“ARP殺手”“代理木馬”“機(jī)器狗”等大量木馬病毒到用戶計(jì)算機(jī)中安裝運(yùn)行，給中毒電腦用戶帶來巨大危害。
“桌面幽靈”具有一整套的自我保護(hù)和反安全軟件的機(jī)制。首先，病毒會(huì)檢測自身進(jìn)程是否被其它調(diào)試軟件所調(diào)試分析，如果發(fā)現(xiàn)自身正在被調(diào)試分析則自動(dòng)關(guān)閉退出，防止病毒研究人員分析該病毒。病毒會(huì)遍歷當(dāng)前計(jì)算機(jī)系統(tǒng)中的進(jìn)程列表，如發(fā)現(xiàn)有“AVP.EXE”進(jìn)程存在，則設(shè)置系統(tǒng)年份為2001年，使某款國外殺毒由于時(shí)間處理錯(cuò)誤的BUG，利用殺毒軟件正版保護(hù)系統(tǒng)的設(shè)計(jì)缺陷，導(dǎo)致其殺毒等功能失效。。病毒在被感染計(jì)算機(jī)的后臺以掛起的方式調(diào)用系統(tǒng)“svchost.exe”進(jìn)程，并將惡意可執(zhí)行代碼注入到已掛起的系統(tǒng)“svchost.exe”進(jìn)程的內(nèi)存空間中，然后恢復(fù)掛起，使其系統(tǒng)“svchost.exe”進(jìn)程開始執(zhí)行惡意操作。注入的惡意代碼系“Trojan/AntiAV.a“系統(tǒng)殺手”變種a”木馬病毒進(jìn)程，主要用來執(zhí)行自我保護(hù)和關(guān)閉多種安全軟件，以及病毒自我升級和自動(dòng)網(wǎng)頁掛馬等多種功能。
“桌面幽靈”在任務(wù)執(zhí)行完畢后，會(huì)馬上關(guān)閉退出。在退出時(shí)，被注入惡意代碼的系統(tǒng)“svchost.exe”進(jìn)程會(huì)刪除掉病毒所在磁盤中的文件，使用戶無法尋找到該病毒樣本。

“桌面幽靈”運(yùn)行后，會(huì)在系統(tǒng)文件下釋放3個(gè)包括“wxp2ins”字樣的臨時(shí)文件。經(jīng)分析，這3個(gè)文件分別為“ARP殺手”變種b、“ARP殺手”變種a、“代理木馬”變種aeit。“ARP殺手”變種a和b的共同特征是使部分安全軟件的防御系統(tǒng)和監(jiān)控系統(tǒng)失效，從而達(dá)到木馬免殺和躲避監(jiān)控的目的。“代理木馬”變種aeit通過惡意磁盤過濾驅(qū)動(dòng)程序去破壞被感染計(jì)算機(jī)磁盤中的系統(tǒng)文件，具有繞過“還原保護(hù)系統(tǒng)”從而破壞被感染計(jì)算機(jī)真實(shí)磁盤中系統(tǒng)文件的功能，使用戶防不勝防。上述三種病毒都是屬于“桌面幽靈”惡意程序集合中的一個(gè)功能模塊，伴隨著這些惡意模塊，還會(huì)有很多其它惡意程序模塊一起安裝到了被感染計(jì)算機(jī)用戶的系統(tǒng)中。如果用戶計(jì)算機(jī)感染了該類病毒，那么很難徹底清除干凈，給染毒計(jì)算機(jī)系統(tǒng)的用戶帶來不同程度的損失。
“桌面幽靈”還具有“機(jī)器狗”變種病毒特征，病毒通過遠(yuǎn)程下載的方式，利用惡意磁盤過濾驅(qū)動(dòng)程序去覆蓋“explorer.exe”系統(tǒng)桌面程序，在被感染計(jì)算機(jī)系統(tǒng)的后臺去連接駭客指定遠(yuǎn)程服務(wù)器站點(diǎn)“http://122.224.5.16/”，下載其它惡意程序“x.exe”并自動(dòng)調(diào)用安裝運(yùn)行。其中，所下載的惡意程序“x.exe”可能為網(wǎng)絡(luò)游戲盜號木馬、木馬下載器、蠕蟲病毒等。
  江民反病毒專家認(rèn)為，“桌面幽靈”系一種罕見的病毒綜合體，他包含了近年來發(fā)作的多種惡性病毒幾乎所有的典型特征，而且由于病毒擁有自身的升級更新服務(wù)，變種十分快速，導(dǎo)致很多用戶電腦遭受病毒感染。

  針對該病毒，江民殺毒軟件KV2008（單機(jī)版/網(wǎng)絡(luò)版）已及時(shí)升級，請用戶更新殺毒軟件病毒庫到最新，開啟主動(dòng)防御和病毒實(shí)時(shí)監(jiān)控，即可有效防殺該病毒于系統(tǒng)之外，免遭病毒侵害。