桌面幽靈”奇襲互聯(lián)網(wǎng) 綜合磁碟機等多種病毒特征

gao0907

桌面幽靈”奇襲互聯(lián)網(wǎng) 綜合磁碟機等多種病毒特征
4月30日，江民反病毒中心發(fā)出緊急病毒警報，一種名為“桌面幽靈”的新病毒開始出現(xiàn)在互聯(lián)網(wǎng)上，目前已有數(shù)百名用戶上報電腦受該病毒感染。病毒綜合了“磁碟機”“系統(tǒng)殺手”“ARP殺手”“機器狗”等多種惡意病毒特征于一體，不但會關(guān)閉多數(shù)殺毒軟件，還會在后臺竊取網(wǎng)游帳號密碼、彈出惡意廣告，嚴重危害電腦用戶的系統(tǒng)和使用安全。
江民反病毒專家介紹，“桌面幽靈”系一種木馬下載器蠕蟲。病毒運行后，首先會將惡意代碼注入到系統(tǒng)“svchost.exe”進程中，實現(xiàn)反安全軟件的功能。然后，病毒會在用戶電腦臨時文件夾中釋放安裝3個帶有“wxp2ins”字樣的惡意驅(qū)動程序，來破壞計算機的安全防護機制。最后利用惡意磁盤過濾驅(qū)動程序去覆蓋“explorer.exe”系統(tǒng)桌面程序，借助該程序去實現(xiàn)開機自啟動，下載包括“系統(tǒng)殺手”“ARP殺手”“代理木馬”“機器狗”等大量木馬病毒到用戶計算機中安裝運行，給中毒電腦用戶帶來巨大危害。
“桌面幽靈”具有一整套的自我保護和反安全軟件的機制。首先，病毒會檢測自身進程是否被其它調(diào)試軟件所調(diào)試分析，如果發(fā)現(xiàn)自身正在被調(diào)試分析則自動關(guān)閉退出，防止病毒研究人員分析該病毒。病毒會遍歷當前計算機系統(tǒng)中的進程列表，如發(fā)現(xiàn)有“AVP.EXE”進程存在，則設(shè)置系統(tǒng)年份為2001年，使某款國外殺毒由于時間處理錯誤的BUG，利用殺毒軟件正版保護系統(tǒng)的設(shè)計缺陷，導(dǎo)致其殺毒等功能失效。。病毒在被感染計算機的后臺以掛起的方式調(diào)用系統(tǒng)“svchost.exe”進程，并將惡意可執(zhí)行代碼注入到已掛起的系統(tǒng)“svchost.exe”進程的內(nèi)存空間中，然后恢復(fù)掛起，使其系統(tǒng)“svchost.exe”進程開始執(zhí)行惡意操作。注入的惡意代碼系“Trojan/AntiAV.a“系統(tǒng)殺手”變種a”木馬病毒進程，主要用來執(zhí)行自我保護和關(guān)閉多種安全軟件，以及病毒自我升級和自動網(wǎng)頁掛馬等多種功能。
“桌面幽靈”在任務(wù)執(zhí)行完畢后，會馬上關(guān)閉退出。在退出時，被注入惡意代碼的系統(tǒng)“svchost.exe”進程會刪除掉病毒所在磁盤中的文件，使用戶無法尋找到該病毒樣本。

“桌面幽靈”運行后，會在系統(tǒng)文件下釋放3個包括“wxp2ins”字樣的臨時文件。經(jīng)分析，這3個文件分別為“ARP殺手”變種b、“ARP殺手”變種a、“代理木馬”變種aeit。“ARP殺手”變種a和b的共同特征是使部分安全軟件的防御系統(tǒng)和監(jiān)控系統(tǒng)失效，從而達到木馬免殺和躲避監(jiān)控的目的。“代理木馬”變種aeit通過惡意磁盤過濾驅(qū)動程序去破壞被感染計算機磁盤中的系統(tǒng)文件，具有繞過“還原保護系統(tǒng)”從而破壞被感染計算機真實磁盤中系統(tǒng)文件的功能，使用戶防不勝防。上述三種病毒都是屬于“桌面幽靈”惡意程序集合中的一個功能模塊，伴隨著這些惡意模塊，還會有很多其它惡意程序模塊一起安裝到了被感染計算機用戶的系統(tǒng)中。如果用戶計算機感染了該類病毒，那么很難徹底清除干凈，給染毒計算機系統(tǒng)的用戶帶來不同程度的損失。
“桌面幽靈”還具有“機器狗”變種病毒特征，病毒通過遠程下載的方式，利用惡意磁盤過濾驅(qū)動程序去覆蓋“explorer.exe”系統(tǒng)桌面程序，在被感染計算機系統(tǒng)的后臺去連接駭客指定遠程服務(wù)器站點“http://122.224.5.16/”，下載其它惡意程序“x.exe”并自動調(diào)用安裝運行。其中，所下載的惡意程序“x.exe”可能為網(wǎng)絡(luò)游戲盜號木馬、木馬下載器、蠕蟲病毒等。
  江民反病毒專家認為，“桌面幽靈”系一種罕見的病毒綜合體，他包含了近年來發(fā)作的多種惡性病毒幾乎所有的典型特征，而且由于病毒擁有自身的升級更新服務(wù)，變種十分快速，導(dǎo)致很多用戶電腦遭受病毒感染。

  針對該病毒，江民殺毒軟件KV2008（單機版/網(wǎng)絡(luò)版）已及時升級，請用戶更新殺毒軟件病毒庫到最新，開啟主動防御和病毒實時監(jiān)控，即可有效防殺該病毒于系統(tǒng)之外，免遭病毒侵害。