卡巴播报:谍客病毒伪装成照片由IM传播

　　如果一个网友向你发来名叫"我的照片"的文件，你是否会迫不及待地打开看看？千万要注意，近期一个名为"谍客"的恶性病毒下载器正在利用这类方式传播。安全专家发现，该病毒利用MSN、QQ等聊天工具传输，在侵入一台电脑后，它会自动控制某些版本的聊天工具继续向所有好友发送"我的照片"病毒文件，保守估计目前已感染10万台电脑。

警惕"我的照片"文件

　　如果网友收到他人传来的"我的照片"病毒压缩包，一旦鼠标双击运行其中的文件，瞬间就会激活"谍客"病毒下载器，使Windows系统文件被病毒破坏替换，并自动联网下载数十个网游盗号木马和广告程序，使受害网友的浏览器首页被锁定成钓鱼网址站，DNF、CF等热门游戏面临丢号威胁，多数安全软件也会因为受到病毒攻击而无法正常开启。

　　据悉，伪装成照片来传播的木马病毒在过去极为常见，不久前公安机关曾破获了一名黑客用"黑蝙蝠"木马伪装照片、盗窃QQ好友隐私并进行敲诈的案例。但是"谍客"病毒有两点不同。第一，它在侵入一台电脑后会自动操作某些版本的聊天工具继续发送病毒，使病毒传播范围成几何级数放大；第二，它的破坏能力极强，一旦中招，大多数安全软件根本难以运行，使用户无法彻底清理查杀。

　　卡巴斯基安全中心的专家介绍说，"谍客"病毒下载器使用了一项特殊的技术来对抗安全软件。首先，它把Windows系统文件夹中的usp10.dll文件替换为同名的病毒文件。由于常用软件在启动时需要加载该文件，"谍客"会在自身被加载后进行判断过滤：如果是安全软件启动，则阻止安全软件继续运行；如果是其它软件启动，则予以放行，同时也可以使病毒再次运行。

　　此外，如果是局域网中的一台电脑感染了"谍客"病毒，它会自动向整个局域网内的电脑发动ARP欺骗式攻击，使这些电脑在打开任何网页时，都会遭到"挂马"攻击。除非这些电脑安装了具备修复漏洞、拦截"挂马"功能的产品，否则就会使"谍客"病毒进一步传播扩散。

卡巴斯基的在线安全功能 为浏览网页 在线支付及即时通讯护航

　　截至发稿前，卡巴斯基安全部队2011已针对"谍客"病毒升级了防护规则，可以阻止病毒入侵和运行。同时，基于卡巴斯基领先的系统监控技术可以实时监控和分析系统中的程序活动，及时准确地发现危险行为。一旦发现任何威胁，就会提示用户对恶意程序篡改的的系统设置进行恢复。此外，利用卡巴斯基实验室的云安全数据库，安全信誉评级服务会基于自动风险评估系统为每个程序指定权限和对系统资源的访问限制；当用户使用聊天工具接收他人或病毒自动发送的文件时，能够自动鉴别文件的安全性，在"谍客"病毒运行前就直接清除。