【51CTO.com 綜合消息】近日，被譽(yù)為“2009年首牛木馬”的貓癬病毒依舊活躍在互聯(lián)網(wǎng)上。在金山毒霸等反病毒廠商的合力圍剿之下，23日，貓癬病毒作者已悄悄將病毒源頭——病毒服務(wù)器從廣東江門移入廣東東莞。
 
金山毒霸云安全中心日前最先發(fā)現(xiàn)的貓癬幕后推手－－螃蟹集團(tuán)，是目前活躍在圈中的五大集團(tuán)之一，螃蟹集團(tuán)將貓癬下載器及用于漏洞攻擊的網(wǎng)馬鏈接上傳到托管服務(wù)器上，并通過入侵流量較大的知名網(wǎng)站，購買網(wǎng)站流量等方式廣泛掛馬。當(dāng)用戶訪問這些被掛馬知名網(wǎng)站時(shí)，就會(huì)不知不覺被安裝上貓癬下載器。

據(jù)累計(jì)推算，短短一個(gè)月時(shí)間，已經(jīng)累計(jì)約3000萬臺(tái)次計(jì)算機(jī)訪問過惡意網(wǎng)頁，其中造成約數(shù)百萬臺(tái)次電腦感染“貓癬”病毒。這款病毒除了強(qiáng)烈的對(duì)抗性，流行的原因還在于“貓癬”病毒分銷渠道之多，安裝量之大。

據(jù)一個(gè)資深黑客的介紹，如螃蟹集團(tuán)這樣的掛馬集團(tuán)，收入主要來源于兩個(gè)方面：盜號(hào)集團(tuán)支付給他們的入門費(fèi)用，以及病毒下載器的推廣費(fèi)用。掛馬集團(tuán)收取的入門費(fèi)平均一個(gè)盜號(hào)木馬價(jià)格在3000元左右，一個(gè)貓癬下載器通常情況下可以掛到28個(gè)盜號(hào)木馬，費(fèi)用一個(gè)月份收取一次，那么一個(gè)月的交易總額84萬，一年下來入門費(fèi)的收入總額為1000萬左右。

圖2

貓癬病毒前世今生：

1、貓癬一代主要特點(diǎn)

（1）釋放大量usp10.dll，干擾清除
（2）挾持迅雷，導(dǎo)致不能運(yùn)行迅雷
（3）卸載360,對(duì)抗對(duì)其他安全軟件無效
（4）感染輸入法文件ctfmon.exe，使輸入法不能正常使用。

2、貓癬二代主要特點(diǎn)

（1）特殊路徑釋放usp10.dll，實(shí)現(xiàn)自啟動(dòng)
（2）下載特殊usp10.dll釋放到游戲安裝目錄進(jìn)行盜號(hào),這個(gè)新型盜號(hào)木馬會(huì)盜取 征途，問道，傳奇魔獸世界等知名網(wǎng)友賬號(hào)，同時(shí)感染主機(jī)會(huì)執(zhí)行服務(wù)端返回的任意指令。
（3）此樣本通過其他下載器下載本身不通過第三方漏洞攻擊傳播

3 、貓癬三代主要特點(diǎn)

（1）此次不通過IFEO干擾迅雷運(yùn)行，而是不斷的關(guān)閉迅雷的進(jìn)程
（2）主程序不釋放usp10.dll，相關(guān)功能集成到到下載的木馬列表內(nèi)
（3）去除無用的對(duì)抗殺軟的代碼，增強(qiáng)卸載刪除360代碼
（4）感染輸入法文件ctfmon.exe，使輸入法不能正常使用。

貓癬系列其他信息

（1）目前下載的木馬群都包含ms08-67掃蕩波攻擊局域網(wǎng) 
（2）下載的盜號(hào)木馬主要為新HBkernel32蝗蟲系列(樂意)
（3）目前掛的比較多的惡意域名下載都指向貓癬，示意如下
     一群亂七八糟的域名－－>個(gè)周期性變化的惡意域名－－>個(gè)周期性變化的下載器下載地址

貓癬病毒的防御方案

1、病毒防御方案

1）、更新病毒庫、開啟實(shí)時(shí)監(jiān)控。
金山毒霸反病毒應(yīng)急中心及時(shí)進(jìn)行了病毒庫更新，升級(jí)毒霸到2009年1月21日的病毒庫即可查殺以上病毒，但病毒產(chǎn)業(yè)鏈的從業(yè)者會(huì)不斷更新惡意軟件，現(xiàn)在正處于黑色產(chǎn)業(yè)和安全廠商競(jìng)速的階段。專家提醒，一定要開啟實(shí)時(shí)監(jiān)控功能，以降低安全風(fēng)險(xiǎn)。

2）、使用金山系統(tǒng)清理專家打全補(bǔ)丁，安裝金山系統(tǒng)清理專家不會(huì)與任何殺毒軟件產(chǎn)生沖突，所以非毒霸用戶也可以放心下載此軟件更新漏洞補(bǔ)丁，特別提醒局域網(wǎng)用戶 及時(shí)安全ms08-67漏洞以防御病毒攻擊。特別提醒中毒的用戶不要輕易重裝系統(tǒng)，因?yàn)樾卵b的系統(tǒng)存在大量漏洞，極易再次中毒。

3）、推薦網(wǎng)民安裝金山網(wǎng)盾以防止該病毒通過網(wǎng)頁惡意代碼入侵你的系統(tǒng)。

2、病毒查殺方案：

金山系統(tǒng)急救箱可修復(fù)貓癬下載器造成的許多異常。對(duì)于沒及時(shí)更新病毒庫或非毒霸用戶如果不小心感染此病毒，可以在http://www.duba.net/zhuansha/263.shtml 免費(fèi)下載最新版金山急救箱進(jìn)行查殺。撥打金山毒霸反病毒急救電話010- 82331816，反病毒專家將為您提供幫助。

因?yàn)榻鹕较到y(tǒng)急救箱不是依靠病毒特征查殺的，在使用急救箱修復(fù)殺毒軟件和系統(tǒng)異常之后，強(qiáng)烈建議使用殺毒軟件全面掃描你的系統(tǒng)。