ZOL安全播报3.23:“手机骷髅”被查明

　　今日看点（2010年3月23日）：微软再爆新零日漏洞、迈克菲推新解决方案、“手机骷髅”元凶查明；IE浏览器中频繁被指存在漏洞，潜在隐患也频繁被黑客所利用，也正因其安全性过低，IE6、IE7始终保守非议。迈克菲推出新解决方案，ePO技术的有效应用，使得其可对微软产品提供最佳的活动支持。前几日闹得满城风雨，另很多手机用户中招的“手机骷髅”病毒，也于近日被查明……

ZOL安全播报3.23:“手机骷髅”被查明

　　一、今日播报热点

　　1.微软再爆新零日漏洞

　　3月22日，恶意网页监控系统最新监测发现，综合资讯类网站“牛盘网”（b***.niu***.com）被骇客恶意挂马，用户一旦浏览被挂马的网页后，就会感染木马病毒，严重威胁用户私密信息安全。

　　据反病毒专家分析发现，该站点所挂网马利用了微软IE最新的零日漏洞进行其它病毒的传播，因此用户在访问该站点的时候需要格外的小心。据了解，该漏洞会影响微软IE6和IE7浏览器，IE8浏览器不受影响。同时专家指出，利用该漏洞，黑客可以制作恶意网页，一旦用户使用IE6或IE7访问这些网站，就可能感染计算机病毒，用户计算机可能被黑客完全控制。

　　由于微软还未发布针对该漏洞的补丁，专家建议广大用户，一定要安装具备“网页防马墙”和“智能主动防御”功能的杀毒软件，上网时确保杀毒软件各项监控都处于开启状态，减少网页木马入侵的可能。

　　2.迈克菲推新解决方案

　　迈克菲公司于今天公布了针对最新版数据丢失防护解决方案的相关计划，该解决方案旨在消除人们对重要数据和敏感信息安全日益加剧的担忧。迈克菲数据丢失防护技术可通过 McAfee? ePolicy Orchestrator? (ePO)平台为所有组件、数据库检索和简化工作流提供一个通用策略，并显著提高针对 微软活动目录（Microsoft Active Directory） 的支持。凭借独特的数据分析技术，迈克菲数据丢失防护技术能够提供最全面的数据保护，涵盖U盘、防火墙及其它多种设备。

　　3.“手机骷髅”元凶查明

　　3月23日，对于近日在手机用户之间疯狂传播的“手机骷髅”病毒，金山毒霸安全实验室经过全面鉴定与逆向分析后，已查明该病毒制作方实为北京国盛明道科技有限公司。由于该病毒存在主动发送带毒短信，疯狂敛财等恶意行为，金山手机安全专家表示，该公司的行为已经严重触犯了国家相关法律，属于违法行为，金山已经向公安机关进行了举报。

　　据了解，近日，不少手机用户收到如下内容的短信“本人手机已被手机骷髅控制，通讯录已上传至http://tran****.com”。若收到短信的用户使用NOKIA智能手机，操作系统是S60第三版，用户点击短信中的链接，启动浏览器上网，会下载一个名为LanPackage.sisx的程序文件。若用户不小心点击打开，这个程序会谎称自己是系统中文语言包，若点是，病毒就会安装在手机上，危害你的手机系统，疯狂订阅一些SP服务，发送大量彩信业务，“吸干”你的手机费。

　　金山手机安全专家邹勇进对该病毒进行了详细鉴定和逆向分析，查明手机“骷髅”病毒制作方实为北京国盛明道科技有限公司（BeijingGuoShengMingDaoTechnologyCo.Ltd.），若NOKIAS60第三版智能手机的用户不幸下载并运行了“手机骷髅”病毒程序，“病毒”会自动向手机通信录中的联系人偷偷发送大量含病毒下载链接的彩信，直至手机费耗尽或电池耗尽，给手机用户带来无尽骚扰和金钱损失，而国盛明道公司却可以借机大发横财。

　　3.今日发作病毒

　　英文名称：Trojan/BHO.jli

　　中文名称：“BHO劫持者”变种jli

　　病毒长度：103124字节

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win9X/ME/NT/2000/XP/2003/VISTA

　　MD5校验：e32fc8bd95c395cf714aced4749aa636

　　特征描述：

　　Trojan/BHO.jli“BHO劫持者”变种jli是“BHO劫持者”家族中的最新成员之一，采用“MicrosoftVisualBasic6.0”编写，经过加壳保护处理。“BHO劫持者”变种jli运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“wybho.dll”、“Thunder.dll”和配置文件“csys.dat”，还会将自身复制到被感染系统的“\ProgramFiles\InternetExplorer\”文件夹下并重新命名。之后原病毒程序会通过批处理的方式将自身删除，以此消除痕迹。“BHO劫持者”变种jli运行时，会将释放的恶意DLL组件“wybho.dll”和“Thunder.dll”插入到“iexplorer.exe”进程中，从而防止被轻易地查杀。“BHO劫持者”变种jli运行时，会强行篡改被感染系统IE浏览器的默认主页为骇客指定站点“www.sogou*lanqi.com|locktypebho=1|locktypeielnk=1|locktypeelselnk=1”，致使用户在开启IE浏览器后便会自动连接到该站点，给骇客带来了非法的经济利益。“BHO劫持者”变种jli会将自身注册为BHO，以此实现随IE浏览器的启动而加载运行。另外，其会在开始菜单“启动”文件夹中添加名为“TM”的指向病毒程序的快捷方式，以此实现木马的开机自启。

　　英文名称：Trojan/PSW.Kykymber.bv

　　中文名称：“密室大盗”变种bv

　　病毒长度：33604字节

　　病毒类型：盗号木马

　　危险级别：★

　　影响平台：Win9X/ME/NT/2000/XP/2003

　　MD5校验：778e1032778004829b0a99effd2e1337

　　特征描述：

　　Trojan/PSW.Kykymber.bv“密室大盗”变种bv是“密室大盗”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“密室大盗”变种bv是一个专门盗取“QQ三国”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“密室大盗”变种bv会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。