灰鴿子隱形進化　攻擊殺毒軟體發展肉雞

【賽迪網-IT技術報道】4月7日，金山毒霸全球反病毒監測中心發佈周（4.7-4.13）病毒預警，被磁碟機、機器狗等木馬下載器蓋過風頭好一陣子後，遠程控制木馬又蠢蠢欲動起來。近期需警惕一個類似「灰鴿子」的遠程控制木馬「隱形鴿子192512」（Win32.Troj.Leapar.sb.192512），該病毒在用戶電腦中隱蔽運行，遠程監視用戶屏幕、鍵盤操作，使用戶電腦成為「肉雞」。比灰鴿子更甚的是，「隱形鴿子」能加載驅動造成殺毒軟體癱瘓，這正是「磁碟機」的慣用伎倆。

金山毒霸反病毒專家李鐵軍表示，「隱形鴿子192512」病毒運行後，搜索系統中是否有殺毒軟體的進程，如發現，則釋放出自己的驅動文件，造成殺毒軟體癱瘓。病毒還會將自己的窗口名註冊為「Microsoft Internet Explorer」，類名註冊為「IEFrame」，試圖混淆用戶的判斷，並且採取無進程無模塊的作案方式，給普通用戶的手工清除帶來很大的困難，具有較大的危害性。

李鐵軍分析指出，病毒進入系統，首先在系統臨時目錄下釋放出一個名為XXXX.dat的配置文件，其中XXXX為隨機產生的四位數。接著，病毒搜索系統中是否有殺毒軟體進程，如發現，病毒釋放自身驅動文件及dll格式文件，突破殺軟的防禦措施，同時，病毒在註冊表中註冊為windows服務，實現開機自啟動。最後，病毒釋放出dll文件，將其注入到svchost.exe中，然後隱藏在用戶機器中，實現遠程監視，隱蔽運行。

據瞭解，本周內廣大電腦用戶除了需要警惕「隱形鴿子192512」之外，還需要特別警惕「雁過留聲盜號器118784」（Win32.PSWTroj.OnLineGames.118784）與「視窗殺手248」（Win32.KillWin.jz.248）兩大病毒。前者是一個盜號木馬程序，通過網頁掛馬和捆綁文件等方式混進用戶電腦修改註冊表實現自動啟動，然後在IE瀏覽器的後面創造一個IE伺服器，當發現用戶通過IE發出賬號和密碼時，就被它截取了一次，從而實現盜號。由於普通用戶在上網時需要用到的大部分賬號和密碼都是通過IE發送，因此病毒也就成為一個「通吃」型盜號木馬，使用戶虛擬財產受到極大損失；後者是一個極具破壞性的惡作劇病毒程序，它利用感染正常文件進行傳播，病毒會刪除C盤中的boot.ini、ntldr、bootmgr等重要的系統啟動文件，造成用戶在下一次使用電腦時，電腦無法正常啟動，雖然修復病毒造成的破壞並不複雜，但這已經足以給用戶的正常使用帶來很大的麻煩，如果是商業電腦中了此毒，可能會令用戶蒙受巨額的經濟損失。

(