冠群金辰木马病毒播报：警惕网游盗号类木马家族

冠群金辰发布木马病毒综合警报，根据近日冠群金辰全球反病毒监测网的反馈，大量木马病毒正在对国内及全球电脑用户造成巨大威胁。尤其是大量出现的网游盗号类木马家族，大量的网络游戏玩家需要提高警惕。

据冠群金辰防病毒专家介绍：近年来木马类程序一直是病毒家族的常青树，2008年木马病毒数量占全部病毒数量的70%左右，进入2009年之后，新出现的木马类病毒依然是病毒家族的主体。由于木马病毒会盗窃系统及电脑中的个人信息，进而窃取用户的银行账号密码，网游账号密码等；并对计算机系统加以控制，使其成为被病毒施放者的“肉鸡”，因此，木马病毒所造成的损害和隐蔽性较之一般病毒更大，他们不仅威胁着个人电脑用户，也对企业用户造成了巨大威胁。

在今日发布的木马病毒综合警报中，全面披露了冠群金辰全球反病毒监测网监测到的近期常见病毒名称，并作了简要说明。其中包括近期肆虐的特洛伊病毒Win32.SillyDl 家族（国内名称为“猫癣”或“犇牛”），以及专门用于盗取网络游戏玩家号码的Win32/Treemz!generic、Win32/Treemz.BD、Win32/Gamepass.SF!downloader的网游盗号类木马家族。

防病毒专家对记者表示，近期出现的木马病毒大多通过以下几种途径进行传播：

操作系统及应用程序漏洞。从08年底的IE XML(MS08-78)及ms08-067漏洞，到近期的MS09-002系统漏洞都是被木马病毒利用最多的传播途径。在2月下旬，网上爆出了adobe reader的严重漏洞，虽然目前未发现利用此漏洞的病毒以及adobe已经正式发布了相应补丁，但由于此漏洞涉及adobe Reader多个版本影响广泛，而且这种应用程序漏洞比较容易被用户忽视，因此也可能成为病毒制造者的利用对象。

不断翻新的网站挂马。网站挂马一直是病毒传播的重要手段，当用户使用有安全漏洞的浏览器访问这类网页时，病毒一般利用js脚本下载木马程序并利用VBS或bat脚本进行激活，以便对系统安装木马程序或者开放后门。这类挂马病毒主要来自于不良信息网站，但近年来也有相当数量的合法网站（门户类服务性网站较多）被放挂马成为病毒传播源。

U盘病毒增长迅速。方便性与安全性一直是一对矛盾。Windows提供了自动执行功能其目的是给用户提供更多的方便，但用户却为此付出了相当大的代价。当U盘插入电脑时，缺省情况下系统会自动调用根目录的autorun.inf，病毒就会被自动运行造成系统感染。在上半年此类病毒较为猖獗，它们通过u盘的频繁传递感染了大量系统。而且相当多的此类病毒还同时具备关闭安全软件进程，安装其他下载器的功能，造成用户系统感染程度加深。

针对近期出现的木马病毒种类和传播途径，冠群金辰防病毒专家还提出了以下几条防范建议：

1、防患于未然，对于个人PC系统及时安装系统及应用程序补丁；对于企业用户，应加强补丁管理/分发意识，尤其对服务器等重要系统应尽早安装；

2、避免访问有害信息网站，不随意下载/安装可疑插件，并检查IE的安全级别是否被修改；

3、使用反病毒产品时注意及时升级到最新的病毒库版本，并保持时时监视程序处于开启状态；

4、不要随意执行未知的程序文件；

5、合理的配置系统的资源管理器（比如显示隐含文件、显示系统文件、显示文件扩展名），以便能够更快地发现异常现象，防止被病毒程序利用；

6、对于有一定操作能力的用户，平时可多准备一些安全工具，比如：IceSword冰刃、微软的procexp（清理有害进程）、Sreng（用来分析系统状况，发现系统异常）、KillBox（强制删除工具，用于对付注入系统的病毒文件），以便出问题时能快速处理。

小编提醒，网游及其他盗号类木马病毒将造成用户财产的不小损失，系统控制类的木马病毒则将在控制电脑系统之后造成系统资源损耗甚至硬件损坏，因此请众多个人电脑用户及企业用户注意此次木马病毒综合警报，并根据防病毒专家的建议进行防范。或者选择《KILL防病毒系统》或《冠群金辰终端安全管理系统》等具有较强木马查杀功能的安全软件保护个人及企业计算机系统。

本次冠群金辰木马病毒综合安全警报所提到的近期木马病毒：

1．特洛伊病毒Win32.SillyDl 家族

一种木马下载器，通过Internet Explorer浏览器或者其它的特洛伊下载器安装到用户系统。近期的Win32.SillyDl.GRX新变体（国内名称为“猫癣”或“犇牛”）具有反安全软件功能，有较大危害。

2．JS/SillyDLScript.FO/GL

SillyDL家族的变体，主要利用IE漏洞的脚本病毒，部分变体为ie7ms09-002漏洞相关；利用IE溢出后执行shellcode代码，通常下载其他有害程序。

3．VBS/SillyDLScritp.AQD

木马下载器脚本病毒；属于很多木马程序的触发脚本；主要通过ie漏洞激活并传播。

4．Win32/Treemz!generic

Win32/Treemz.BD是一种盗窃网络游戏敏感信息的特洛伊病毒。

5．Win32/Gamepass.SF!downloader

网游盗号类木马家族。

6．Win32/Frethog!generic

网游盗号类木马，传播途径主要是网站挂马或其他安装包携带。

7．特洛伊病毒Win32.Wowpa!generic

一种记录按键的木马程序，它一般是被其它恶意软件安装。它尝试盗窃与Massively Multiplayer Online Role Playing Game (MMORPG) "World of Warcraft"游戏相关的用户名和密码。

8．win32/bosbot(SiNiu)

是一种下载的木马病毒，还会盗窃网络游戏账号和密码。感染病毒后，系统会明显变慢，局域网内会有大量arp攻击，严重阻塞网络通讯。特洛伊病毒会将IE主页修改为www.ku2009.com。win32/bosbot病毒会修改注册表键值，使某些杀毒软件失效，并禁止访问某些与安全相关的网站。该病毒还会下载其它的下载器，盗取用户的网游账号和密码。

9．Win32/Frethog.CIG|CIL

网游盗号类木马，传播途径主要是网站挂马或其他安装包携带。

10．Win32/MS08-067!exploit

这是一类通过MS08-067漏洞进行传播的蠕虫。病毒为了执行stacked-based buffer overflow黑客行为，会发送RPC请求到存在漏洞的系统。