「局域網監視器」網內抓肉雞竊商業機密

【賽迪網-IT技術報道】7月29日，金山毒霸全球反病毒監測中心發佈周（7.28-8.3）病毒預警，本週一種針對局域網的感染型的後門程序「局域網監視器5120」需警惕。病毒在局域網內找尋肉雞，控制其系統，企圖盜竊企業用戶的商業資料，並指揮肉雞向整個網絡發起攻擊，感染更多電腦。

金山毒霸反病毒專家李鐵軍表示，此木馬程序針對局域網具有較強的感染能力。它會掃瞄本地硬碟的文件進行感染，同時枚舉局域網內資源，通過感染局域網內共享文件進行傳播。它會打開端口監聽，在後台執行黑客命令，這樣用戶的電腦就處於極度危險狀態中。

李鐵軍分析指出，病毒進入電腦後，把自身drone.exe拷貝到系統目錄%windows%/system32/中，並註冊一個名為drone的服務啟動項，實現開機自啟動。然後開啟一個線程，循環從C:/盤到Z:/盤查找文件，感染除windows、winnt、progam files外所有目錄中的文件。只要用戶複製這些文件到別的電腦上，病毒就可以實現傳播。同時，病毒程序不停的枚舉局域網內的機器，利用共享文件的安全漏洞來感染它們的文件，從而實現在局域網內的傳播。最後，病毒程序打開一個線程，在30467端口上監聽，連接病毒作者（黑客）的伺服器。黑客利用這個後門，就可以隨時自由瀏覽用戶的電腦，並任意控制系統。由於此木馬是通過後台開啟cmd執行命令，因此較隱蔽。

據瞭解，本周內廣大電腦用戶除了需要警惕 「局域網監視器5120」（Win32.Erone.a.5120） 之外，還需要特別警惕「AUTO病毒下載器258053」（Worm.AutoRun.m.258053）與「冒牌殺軟下載器106156」（Win32.Troj.GuiseAV.rs.106156）兩大病毒。前者是個木馬下載器。運行後會在後台悄悄下載大量的木馬病毒文件並運行。此毒還會在所有硬碟分區的根目錄下創建AUTO病毒，以便傳播自己。並利用映像劫持，令安全軟體失效；後者是個經過偽裝的木馬下載器。它利用電腦用戶對於屏保退出的方法不熟悉，以及用戶們對安全的渴望，在電腦中偽造系統崩潰現象，欺騙用戶下載一個所謂的「殺毒軟體」。

奧運將至，網絡上各種以奧運為主題的視頻、圖片極有可能被病毒利用，成為病毒傳播的誘餌。金山毒霸反病毒專家提醒廣大用戶，升級金山毒霸到2008年7月28日的病毒庫查殺病毒；如未安裝金山毒霸，可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒http://shadu.duba.net/來防止病毒入侵。

(