機器狗病毒愈演愈烈　不斷壯大「黑名單」

【賽迪網－IT技術報道】3月10日，金山毒霸全球反病毒監測中心發佈周（3.10-3.16）病毒預警，機器狗病毒再生新變種，感染用戶急聚增長。最新版本的機器狗病毒，在入侵成功後，下載數十個其它木馬病毒，並修改註冊表使多款殺毒軟體失效。當前頁面含有殺毒、專殺、機器狗字樣時，窗口會被關閉，普通用戶可能不得不重裝系統。

金山毒霸反病毒專家李鐵軍表示，病毒進入系統後，以極快的速度修改系統註冊表，對大量的殺毒軟體和安全輔助軟體實施印象劫持，造成它們失效。對於那些不需經過註冊表就能使用的綠色安全產品，病毒也採取監視系統進程的方式來阻止其運行。由於病毒的「黑名單」極為龐大，幾乎目前所有的殺毒軟體及安全輔助軟體都會「犧牲」。

李鐵軍分析指出，病毒順利潛入用戶系統後，在系統盤中釋放出兩個病毒文件，分別為%WINDOWS%/system32/目錄下的winsrv32.dll，以及%WINDOWS%/system32//drivers/目錄下的ati32srv.sys。其中的ati32srv.sys特別值得注意，因為病毒會將它的相關資料寫入註冊表，恢復系統的SSDT表，這樣就可能導致殺毒軟體的「主動防禦」和「自我保護」功能失效。完成以上步驟後，病毒悄然連接多個由木馬種植者指定的網址，獲取最新的病毒下載列表，然後根據列表上的地址去下載大量其它木馬至用戶計算機運行，引發更多無法估計的系統安全問題。

據瞭解，本周內廣大電腦用戶除了需要警惕「機器狗變種53248」之外，還需要特別警惕「AUTO地鼠器」（Win32.Troj.AutoRunT.up.151552）與「敏感資料盜竊者202792」（Win32.Troj.Hugedoor.a.202792 ）兩大病毒。前者病毒進入系統後，立即修改系統時間為2018年，使依賴依賴系統時間進行激活和升級的殺毒軟體失效。然後開始瘋狂的下載活動，從木馬種植者指定的多個遠程伺服器下載海量其它病毒文件，如果使用金山清理專家掃瞄惡意軟體可發現它下載的大部分病毒是盜號木馬，其中包括最近名聲非常惡劣的「機器狗」。隨著進入電腦的木馬越來越多，系統資源會被病毒嚴重佔用，直至癱瘓。後者病毒運行後，在系統中展開全面監視程序，記錄下用戶使用outlook和foxmail所有發出郵件的時間、用戶名、密碼、郵件伺服器等信息。並記錄QQ、ICQ、MSN等即時通訊工具的賬號，密碼。還記錄用戶使用IE瀏覽器時，輸入的所有含TEXT和PASSWORD字樣的內容，並將這些偷來的信息全部發送到木馬種植者指定的地址。更令人髮指的是，它甚至會在系統最近打開的文檔中搜索doc、txt、pdf等格式的文件，將它們也上傳給木馬種植者。病毒還相當狡猾，它在上傳贓物的過程中，如果嗅探到有網絡監控進程，就會暫停上傳工作，等2分鐘後再次檢測。這樣一來，監控程序就不容易發現它了。

金山毒霸反病毒專家特別指出，「機器狗」針對還原系統進行穿透破解的木馬多見於網吧等公共場所的電腦，用戶操作公用電腦時需提高警惕。建議使用殺毒USB隨身碟或下載金山清理專家等支持綠色的安全輔助軟體裝在USB隨身碟裡隨身攜帶，以便在公用電腦上進行查殺。對付「機器狗」下載的盜號木馬，可將遊戲、網銀、聊天賬號置於金山密保的保護下。同時開啟殺毒軟體的自動更新功能，保持對最新病毒的防禦能力；開啟防火牆，並且留意防火牆攔截提示，檢查外掛程序的安全性；登錄網游賬號、網絡銀行賬戶時採用軟鍵盤輸入賬號及密碼。

(