【51CTO.com 綜合報(bào)道】總體上本周病毒狀況比較平靜，未發(fā)現(xiàn)嚴(yán)重危害的新型病毒，病毒感染數(shù)量以及捕獲的病毒樣本數(shù)量相對(duì)于前一周都有較大程度下降。當(dāng)前病毒主要以如下方式進(jìn)行傳播，請(qǐng)廣大用戶注意預(yù)防：網(wǎng)站掛馬、微軟MS09-002、MS08-067系統(tǒng)漏洞、Sina UC漏洞、Realplayer漏洞、移動(dòng)硬盤傳播。

本周關(guān)注的新病毒：
蠕蟲病毒W(wǎng)in32.Fruspam.Family
其它名稱：W32.Ackantta@mm (Symantec), Trojan.Win32.Buzus (Kaspersky), Mal/CryptBox (Sophos), Win32/Fruspam!generic, Worm:Win32/Prolaco (MS OneCare), Hacktool.Spammer (Symantec), W32/Xirtem@MM (McAfee)
病毒屬性：蠕蟲病毒 
危害性：中等

病毒特性：
 Win32/Fruspam是一個(gè)利用內(nèi)置的SMTP引擎群發(fā)垃圾郵件蠕蟲家族。它的目標(biāo)系統(tǒng)是運(yùn)行IIS的服務(wù)器，也可以通過U盤和點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)傳播。

感染方式：
運(yùn)行后，Win32/Fruspam. 會(huì)使用以下任意文件名復(fù)制自己到%System%目錄中：
javaload.exe、javare.exe、javarun.exe、jushed.exe

它還能生成以下惡意文件：
%System%\<8 random characters>.dll -檢測(cè)出是Win32/Vundo.BZO病毒
%System%\.dll -檢測(cè)出是Win32/Vundo variant病毒
%System%\javaee.exe -檢測(cè)出是Win32/Fruspam.I病毒
%System%\javame.exe -檢測(cè)出是Win32/Fruspam.I病毒
%System%\javame4.exe -檢測(cè)出是Win32/Fruspam.J病毒
%System%\javase.exe -檢測(cè)出是Win32/Fruspam.I病毒
%System%\javase4.exe -檢測(cè)出是Win32/Fruspam.J病毒
%System%\jqs.exe -檢測(cè)出是Win32/Fruspam.A病毒
%System%\mf.exe -檢測(cè)出是 Win32/CInject.S病毒
%System%\mlJAqpqo.dll -檢測(cè)出是Win32/Vundo.CGP病毒

修改以下注冊(cè)表鍵值，以便在系統(tǒng)啟動(dòng)時(shí)運(yùn)行：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

創(chuàng)建的執(zhí)行名稱可能是：
F-Secure Email Security ；Sun Java Updater ；SunJavaUpdater

傳播方式：
通過郵件傳播
Win32/Fruspam 通過郵件傳播。它從以下合法的網(wǎng)站下載圖片，并使用這些圖片生成垃圾郵件。

h**p://www.hallmark.com/wcsstore/HallmarkStore/images/
h**p://www.hallmark.com/wcsstore/HallmarkStore/images/globalNav
h**p://www.huxleyengineering.com/css/
…
h**p://www.thecoca-colacompany.com/
h**p://www.thecoca-colacompany.com/css/

Fruspam蠕蟲發(fā)送的電子郵件有以下特征

標(biāo)題例子：
IKEA's New Planning Software；Job offer from Coca Cola!；Thank you for your application；You've received A Hallmark E-Card!

發(fā)件人例子：
HomePlanner@IKEA.com；hr@coca-cola.com；hr@huxley.com；hr@jobs.com；postcards@hallmark.com

附件名例子：
copy of your CV.zip；copy of your application.zip；ikea.zip；job-application-form.zip；postcard.zip

病毒發(fā)送垃圾郵件的例子：

圖1

它使用遠(yuǎn)程SMTP服務(wù)器發(fā)送垃圾郵件到這些郵件地址。病毒執(zhí)行DNS MX (mail exchanger)查詢，為每個(gè)域找到適合的郵件服務(wù)器來發(fā)送郵件。

通過點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)傳播
Win32/Fruspam.J還會(huì)通過點(diǎn)對(duì)點(diǎn)軟件進(jìn)行傳播。 它會(huì)復(fù)制到包含"DownloadDir"和"ProgramFiles"字符串的目錄中，或者復(fù)制到以下P2P軟件的共享目錄中：
C:\Downloads\
C:\program files\emule\incoming\
C:\program files\grokster\my grokster\
C:\program files\icq\shared folder\
C:\program files\limewire\shared\
C:\program files\morpheus\my shared folder\
C:\program files\tesla\files\
C:\program files\winmx\shared\

復(fù)制文件名包括：
Absolute Video Converter 6.2.exe
Acker DVD Ripper 2009.exe
Ad-aware 2008.exe
…
Wow WoLTk keygen generator-sfx.exe
Youtube Music Downloader 1.0.exe
xbox360 flashing tools and guide including bricked drive fix.exe

通過文件替換傳播
如果被感染系統(tǒng)上運(yùn)行了一個(gè)帶有IIS (Internet Information Services)的web服務(wù)器，Win32/Fruspam.J就會(huì)將合法的IIS文件%Root%\inetpub\wwwroot\index.htm修改或替換為帶有病毒的.htm文件。
修改的HTML 頁面，加載時(shí)會(huì)顯示如下內(nèi)容：

圖2

如果用戶點(diǎn)擊了"MS09-067" 鏈接，就會(huì)運(yùn)行蠕蟲文件%Root%\inetpub\wwwroot\ms09-067.exe。

通過U盤傳播
蠕蟲在每一個(gè)可移動(dòng)磁盤中創(chuàng)建一個(gè)如下名稱的目錄, 設(shè)置該系統(tǒng)屬性只讀，隱藏：
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542 并生成redmond.exe
在根目錄創(chuàng)建 “Autorun.inf ”。

Fruspam蠕蟲危害：
規(guī)避系統(tǒng)防火墻設(shè)置
Fruspam 變種修改注冊(cè)表鍵值規(guī)避Windows防火墻設(shè)置，將病毒文件添加到授權(quán)軟件中

下載并執(zhí)行任意文件
Win32/Fruspam.也下載其他惡意程序，例如從以下站點(diǎn)下載Win32/Vundo變種：
aesezvbvzl.com//xckhdrr/
childhe.com//apstpldr.dll.html

修改Hots文件
Win32/Fruspam變種修改Hosts文件，以阻止訪問某些安全網(wǎng)站。修改后的Hosts文件包含以下行：

127.0.0.1 aladdin.com
127.0.0.1 authentium.com
127.0.0.1 avast.com
127.0.0.1 avg.com
127.0.0.1 avp.com
127.0.0.1 bitdefender.com
127.0.0.1 ca.com
…
127.0.0.1 www.virus-buster.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.virustotal.com

本周的一些其他常見病毒：

VBS/Gamepass!generic家族
游戲盜號(hào)木馬程序的腳本激活部分，主要注入到網(wǎng)站代碼，當(dāng)用戶瀏覽時(shí)被執(zhí)行。

特洛伊病毒W(wǎng)in32.SillyDl 家族
一種木馬下載器，通過Internet Explorer瀏覽器或者其它的特洛伊下載器安裝到用戶系統(tǒng)。近期的Win32.SillyDl.GRX新變體（國(guó)內(nèi)名稱為“貓癬”或“犇?！保┚哂蟹窗踩浖δ?，有較大危害。（本周仍然發(fā)現(xiàn)有新的變體出現(xiàn)，主要特征是生成USP10.DLL文件）

特洛伊病毒W(wǎng)in32.Wowpa.Fj|FR
本周出現(xiàn)變體較多的一個(gè)家族；這是一種記錄按鍵的木馬程序，它一般是被其它惡意軟件安裝。它嘗試盜竊與Massively Multiplayer Online Role Playing Game (MMORPG) "World of Warcraft"游戲相關(guān)的用戶名和密碼。

JS/SillyDLScript.FO/GL
IE漏洞腳本病毒，部分變體為ie7ms09-002漏洞相關(guān)腳本；利用IE執(zhí)行后執(zhí)行shellcode代碼，通常下載其他有害程序。

JS/RealExpolit.C
針對(duì)realplay漏洞的腳本病毒。

特洛伊病毒W(wǎng)in32.SillyDl 家族
一種木馬下載器，通過Internet Explorer瀏覽器或者其它的特洛伊下載器安裝到用戶系統(tǒng)。此家族近期變體較多，很多變體即國(guó)內(nèi)的“犇?！薄?/P>

Win32/Dogbab!generic
新出現(xiàn)的盜號(hào)類木馬程序；暫無詳細(xì)資料；

JS/CVE-2009-0075!exploit
利用ms09-002漏洞的腳本掛馬程序；
 
Win32/Gamepass.VE|VF|WD|ZT等
網(wǎng)游盜號(hào)類木馬家族，是去年以來一直較為活躍的木馬，且一直在出現(xiàn)新的變體。

Win32/QQPass.ZO/BJ/
帳號(hào)盜竊木馬程序，有鍵盤輸入記錄功能，病毒作為一個(gè)Browser Helper Object安裝。

其他近期新病毒的資料可參考：
http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建議：
1、對(duì)于個(gè)人PC，重要的系統(tǒng)補(bǔ)丁應(yīng)及時(shí)安裝；對(duì)于企業(yè)用戶，應(yīng)加強(qiáng)補(bǔ)丁管理意識(shí)，尤其對(duì)服務(wù)器等重要系統(tǒng)應(yīng)盡早安裝；
2、不訪問有害信息網(wǎng)站，不隨意下載/安裝可疑插件，并檢查IE的安全級(jí)別是否被修改；
3、使用KILL時(shí)注意及時(shí)升級(jí)到最新的病毒庫(kù)版本，并保持時(shí)時(shí)監(jiān)視程序處于開啟狀態(tài)；
4、不要隨意執(zhí)行未知的程序文件；
5、合理的配置系統(tǒng)的資源管理器（比如顯示隱含文件、顯示文件擴(kuò)展名），以便能夠更快地發(fā)現(xiàn)異?，F(xiàn)象，防止被病毒程序利用。