木馬情書「風花雪月」浪漫背後暗藏殺機

【賽迪網-IT技術報道】4月14日，金山毒霸全球反病毒監測中心發佈周（2008.4.14-2008.4.20）病毒預警，磁碟機等木馬下載器風頭過後，類似灰鴿子的遠程木馬程序再次捲土重來。近日，一個名為「風花雪月」的黑客後門程序借木馬抒寫情書大搞浪漫，在用戶電腦上建立後門，隨機生成監聽端口，等待黑客伺服器端的連接。如果黑客進入了用戶電腦，可以進行任意操作，給用戶帶來無法估計的損失。

金山毒霸反病毒專家李鐵軍表示，該病毒利用被感染的EXE文件來進行傳播，然後在中毒電腦上建立後門，等待黑客進入。病毒作者在感染的文件中附帶了一封名為「風花雪月」的英文情書表達自己對某個女孩的愛慕。

李鐵軍分析指出，病毒製造者除了傳播這封情書外，還會在用戶電腦中創建一個後門，隨機生成監聽端口，等待伺服器端的連接，這樣黑客就輕而易舉地控制了用戶的電腦，給用戶帶來不可預知的危險。該病毒的主文件隱藏在系統盤windows目錄下，名稱是Rundll32.exe。另外，它還將自身拷貝到系統盤%Program Files%文件夾的一些常用軟體目錄中，例如%Program Files%/Internet Explorer/、%Program Files%/Windows Media Player/等目錄，在這些目錄中，病毒名稱為WindFlowerSnowMoon.exe。

據瞭解，本周內廣大電腦用戶除了需要警惕「風花雪月」之外，還需要特別警惕「赤水牛」（Win32.Troj.AutoRun.204800）與「艾妮病毒147456 」（Win32.LwyMum.h.147456）兩大病毒。前者是一個能夠自動傳播的黑客後門程序，它可在移動儲存設備之間進行自動傳染，被它入侵的電腦，包括殺毒軟體在內的所有可執行程序都將無法正常運行。並且該病毒會屏蔽一切與其有關的網頁，阻止用戶通過網絡求助，然後在系統中創建後門，等待黑客非法進入，實施各種他想要的操作，給用戶帶來無法預料的損失和麻煩；後者是艾妮蠕蟲的一個變種，但具備了更強的對抗安全軟體能力。它通過感染EXE格式的文件進行傳播。當運行被感染文件時，病毒就會發作，感染更多的正常文件，並在用戶無法知曉的情況下連接病毒作者指定的地址下載其它病毒運行，多為盜號木馬，使用戶虛擬財產受到極大損失。

(