瑞星一周播报（2007.3.26—2007.4.1）

“灰鸽子”推出07版 黑客可远程控制你的电脑

　　近期，“灰鸽子”（Backdoor.Gpigeon）病毒推出了2007版。“灰鸽子”是后门程序，利用它提供的功能，黑客可对中毒电脑进行远程控制，如记录键盘、从网上下载文件、对外进行攻击等等。

本周关注病毒：灰鸽子2007（Backdoor. Gpigeon.2007） 警惕程度 ★★★☆

　　灰鸽子是一种可以在WIN9X/NT/2000/XP等操作系统上运行的后门程序。黑客可以对感染此病毒的计算机进行远程控制，进行多种危险操作如：记录键盘、结束指定的进程、强制重启电脑、执行系统命令、获取系统信息、从网上下载指定的文件等等。如果用户的计算机有摄像头，“灰鸽子”病毒还可以远程将其开启，进行偷拍。由于该病毒采用一些特殊的手段隐藏自身，较难被清除。

专家建议

　　“灰鸽子”病毒利用了一些特殊的手段隐藏自身，一般用户很难发现。近期，该病毒出现了多个变种，并且伪装成正常的软件引诱用户下载运行。

　　建议用户：

　　1、不要从不知名的网站下载软件。

　　2、开启杀毒软件的自动升级功能并打开实时监控功能来彻底防范此类病毒。

出处：瑞星公司

“钓鱼邮件”群发套取用户密码

　　近日，不少招行银行卡用户收到了一封“安全监控提醒”邮件，看上去像模像样，但也有细心者查询招行客户服务热线证实，仿真程度极高的这封邮件其实也是一封“钓鱼邮件”。一些热心人上网发布提醒消息的同时，招行也向用户发出电邮，提醒大家注意防范。

　　网民王先生说，他前天收到了一封来自services@cmbchina.com地址的电子邮件称：“招商银行安全监控系统提醒您：您的账号出现异常登录情况，为了保障您账号的安全，我们已经暂时冻结了您的账号，请在左边输入相应信息激活您的账号，方能正常使用。”

　　邮件中链接的网页看上去十分逼真，页面顶端有招商银行的中英文名称和标志，底端有“24小时免费服务热线800-820-5555，手机用户及未开通800业务地区请拨打021－38784800” ，以及“招商银行一网通创建于一九九七年”等字样，全都与真版招行网站一模一样。

　　幸好，王先生警惕性颇高，他致电招行热线查询，证实银行一般都是通过书面信件和电话联系客户，而不会通过电子邮件或短信，更不会要求用户在邮件里透露个人账号和密码、身份证信息。他于是上网发布了这一信息，提醒其他用户不要受骗。

　　招行提醒用户，用户如需更改信息，请务必通过该行营业网点或登录“一网通”主站，如果已经在诈骗邮件中输入了账户信息，应立即挂失或修改密码。

蠕虫Rinbot家族增加新成员

　　蠕虫Rinbot家族，ShotOne还有Yabarasu木马，以及Expiro.A病毒都是本周熊猫实验室报道的主题。ShotOne木马给感染的计算机带来一系列的麻烦。它修改Windows注册表，阻止系统更新并且禁止用户访问IE中的文件菜单。它还会隐藏“我的文档”和“我的电脑”中的属性项。

　　该木马还会禁用任务栏的右键菜单和开始按钮，隐藏Notification Area图标以及阻止用户访问开始菜单中的“运行”和“搜索”选项。

　　系统一启动，该木马就会运行。运行后，它会显示一些列窗口而致使用户无法使用计算机。它还会每隔3个小时重启一下它所感染的计算机。Yabarasu是人们报道的第二个木马，它也是在系统启动的时候运行。

　　Yabarasu会在所感染的系统中自行复制。为了欺骗用户，它会隐藏所有文件的扩展名和 tooltip（当你将鼠标移到某文件上的时候所出现的信息栏）。Yabarasu还会隐藏C盘中的文件夹，并且用自己的复件替换这些文件夹，带着跟原来文件同样的名字和图标。这样，当用户运行这些文件的时候，他们其实是在运行木马。

　　ShotOne和Yabarasu都是通过电子邮件，下载文件以及被感染的存储器等等来进入计算机的。

　　PandaLabs发现了很多Rinbot蠕虫家族的变种：Rinbot.B，Rinbot.F，Rinbot.G和Rinbot.H。这些蠕虫都是通过将自己复制到映射盘或者共享网络资源中来传播的。他们还能自行复制到连接到电脑的USB设备中（例如MP3）。

　　有些变种还能利用一些系统漏洞来传播。以Rinbot.B为例，它利用LSASS和RPC DCOM漏洞。人们早已提供了针对这些安全漏洞的补丁包。

　　Rinbot.G利用SQL服务器的一个漏洞来把自己验证为用户。一旦它进入某个计算机，该蠕虫会通过TFTP将自己复制到计算机中，然后在系统中运行。

　　Rinbot.H也利用某个漏洞来传播。这回它利用那些存在MS01-032漏洞的服务器，微软也早提供了同名修正补丁包。

　　Rinbot蠕虫会在受感染的计算机上打开一个端口，连接到IRC服务器。这样黑客就可以从远程控制计算机。它还会下载Spammer.ZV木马，该木马能够向它在受害计算机上找到的所有邮件地址发送垃圾邮件。最后，该蠕虫还会修改安全设置以及IE的系统权限，从而降低计算机的安全级别。

　　Rinbot.B的代码有个有趣的地方，里面包含一段它声称是该蠕虫病毒的创作者接受CNN采访的记录，采访中创作者说明了他编写这种蠕虫的动机。下面就是那段文字：

　　“这是新型恶意软件的一个最显著的特点。恶意软件的创作者通过生成大量的，几乎同时出现的变种来提高感染计算机的几率。这样做同时能够减少公众对威胁的关注度，使用户掉以轻心。”Luis Corrons解释说。

　　Expiro.A是本周报道的最后一种病毒。它能感染Program Files文件夹及其子文件夹中的可执行文件（.exe），还能感染目录。

　　一旦用户打开了感染的文件，该病毒与真实文件一起运行。这是为了迷惑用户，致使他们无法察觉到系统已经被感染了。

　　一旦它怀疑自己被任何安全措施检索到，Expiro.A会立刻停止它的进程。该恶意代码的很多部分都被加密了，这样就难检测到它了。

美国是全球最大的网络攻击源

　　美联社消息根据电脑安全公司赛门铁克最新发布的一份研究报告显示，美国产生的电脑网络攻击超过世界上其他任何一个国家，全球诡异的黑客们正在联合起来组成了无数个高智商犯罪集团。

　　赛门铁克公司的研究人员还发现，由于黑社会犯罪集团的激烈竞争，金融信息被盗取后的出售价格正在下降。犯罪份子可以低至1美元的价格，购买真实的信用卡号，而购买完整的身份信息，包括出生日期、美国银行帐号、信用卡和身份证号码，只要14美元。

　　这份每半年发布1次的网络安全威胁报告（Internet Security Threat Report）透露， 2006年下半年来自美国电脑的网络攻击占到全球总数的1/3，美国已经成为垃圾邮件、钓鱼攻击和恶意代码威胁最肥沃的滋生地，随后是中国和德国，分别占到10%和7%。另外美国也是“ 蝇蛆网络”最活跃的地区，这些网络蝇蛆可远程控制电脑并发送垃圾邮件或执行其他丑恶行为。

　　电脑的合法用户通常不知道自己的电脑被控制，研究人员主要是根据过去半年里垃圾邮件显著上升得出的结论，赛门铁克监控到的垃圾邮件增加了59%，比2006年上半年的上升幅度提高了5个百分点。

　　大量的垃圾邮件都与股票和其他金融诈骗有关。全球超过一半的“地下经济服务器”位于美国，通常是霸占企业服务器盗取秘密的交易数据，这些服务器被霸占的时间少则2个小时，多则2个星期之久。

　　此份报告也标志着赛门铁克首次对电脑攻击的发源地国家进行研究，集中关注2006年下半年运行赛门铁克安全软件的1.2亿多台电脑所遭受的网络攻击。赛门铁克安全响应部门副总裁艾尔弗雷德-修吉尔称，网络犯罪似乎正在采用更为诡秘的自行执法手段，在竞争对手服务器上发布终止服务攻击，并在网络公布竞争者的容貌画像。他认为，这是非常残忍、组织严密和高度演进的。最令人吃惊的发现之一是：2006年下半年遭受蝇蛆攻击的电脑数量比上半年上升了29%，总数超过了600万台，而同时用于控制这些电脑的服务器数量却急剧下降，这种被称为 “命令-控制”服务器数量下降了25%至4700台。研究人员称，这说明蝇蛆网络的主人正在合并和扩大网络，建立了更集中、效率更高的攻击体系。

　　中国是最大的受害国，全球被蝇蛆影响的电脑有26%在中国，高于其他任何一个国家。而微软的IE浏览器是最大目标，所有针对浏览器的攻击77%是针对IE。赛门铁克预计，随着 VISTA的上市，更多的攻击将转向该系统。另外多角色网络游戏也成为了钓鱼者的目标，钓鱼者正在通过制作假网站盗取用户的密码和其他个人信息。

“白宫信差”利用电邮传播蠕虫

　　“白宫信差”变种 H(Worm.Glowa.h)是一个利用电子邮件进行病毒传播的蠕虫病毒。

　　“惊天游戏大盗”变种 F(Win32.PswTroj.Cabal.f)是一个盗取网络游戏“惊天动地”帐号的木马病毒。

　　一、“白宫信差”变种 H(Worm.Glowa.h) 威胁级别：★

　　该病毒通过电子邮件传播，它会向知名的网站群发大量的电子邮件，其主题是“白宫新闻 ”，内容是相关核战争的假新闻，诱导邮件接收者下载并打开该电子邮件中的病毒附件，到达扩散病毒的目的。由于它会大量发送垃圾邮件，可能还会导致用户电脑系统速度减慢，网络带宽被严重占用甚至瘫痪等现象。

　　该病毒运行后，会在电脑系统里释放wservice.exe和SPQ2x10.exe病毒文件，修改注册表，实现随开机自动启动。此外，它还会强行终止多个杀毒软件的监控进程。

　　二、“惊天游戏大盗”变种 F(Win32.PswTroj.Cabal.f) 威胁级别：★

　　该病毒是针对网络游戏“惊天动地”，它跟一般盗号木马病毒相似，它会伺机把自身隐藏到“惊天动地”的游戏进程里，并创建信息钩子，获取游戏帐号和密码等有效信息，并将窃取的信息通过网站发送给木马种植者。造成用户的网络虚拟财产的损失。

　　该病毒运行后，会释放Ghook.dll和svchost.exe病毒文件。修改注册表，实现随开机自动启动。同时将自身注入到cabalmain.exe进程里，并以一定频率检测数据，并获取有效的帐号信息。

　　反病毒工程师建议

　　1.防止邮件病毒最好方法是不要轻易打开带附件的陌生邮件，如果一定要打开，请注意使用反病毒软件检测后再打开。注意定时升级杀毒软件到最新版本，随时打开邮件监控功能，养成良好的安全防范意识。

　　2.在国内各个网络游戏热火朝天的出现后，各种游戏病毒也就滋生蔓延，各位玩家一定要做好相关病毒防范工作，避免造成重大的损失。