"蜘蛛兵團"盜號木馬來襲 AVG提供防護

    泡泡網安全相關頻道3月1日 近日，AVG中國實驗室監測到了中國本土制造的“漏洞兵團”，其目標明確、“播撒”范圍廣、傳播速度快，已經有不少游戲用戶的帳號安全遭到了迫害。

    漏洞是黑客或者病毒作者發起攻擊的主要方式之一，這種方式隱蔽，傳播速度極快，危害性也極大。IE漏洞可以讓用戶在瀏覽網頁過程中不知不覺的中招，Adobe漏洞讓用戶不敢隨意打開自己費盡千辛萬苦找到的電子書。隨著用戶對漏洞危害認識的不斷加強，病毒作者也意識到單一的漏洞很難在大量的用戶上成功執行，于是在國外出現多種漏洞捆綁的攻擊方式，例如Crime pack、Phoenix Exploit Kit等，不僅在在黑市上流通，而且價格不菲。目前流行的漏洞包甚至含有10多個的漏洞，涉及到不同的操作系統版本，不同的應用程序，這都大大提高了漏洞執行的成功率。對于這種發起混合攻擊的漏洞包，就像是不同的兵種在協同作戰，各司其職，高效的發起極有針對性的攻擊，因此我們給它取了一個更加形象的名稱：漏洞兵團。

    基于利益的驅使，國內的病毒制造者也不會放棄這塊美味的蛋糕，近日，AVG中國實驗室就監測到了中國本土制造的“漏洞兵團”，例如最近被發現的“蜘蛛兵團”。“蜘蛛兵團”的制造者利用多個漏統構造畸形的網頁，訪問者如果有相應的漏洞，就極有可能導致惡意文件的下載和執行。相對于國外成熟的技術而言，“蜘蛛兵團”還略顯稚嫩。沒有可以提供配置的客戶端，沒有協助通訊的服務器端。但是其本質的特征是共通的：就是利用多個漏洞發起攻擊。以下就是“蜘蛛兵團”所利用的漏洞的列表：

    * IEPeers (CVE-2010-0806)
    * Flash 10.3.181.x (CVE-2011-2110)
    * Flash 10.3.183.x (CVE-2011-2140)
    * IE Time Element Memory Corruption (CVE-2011-1255)
    * WMP MIDI (CVE-2012-0003)

    “蜘蛛兵團”相較于國外的“前輩”來說，利用的漏洞的數量比較少，只有5個，但是每個漏洞是漏洞界的新寵，甚至包含了近來非常流行的CVE-2012-0003，Windows Media Player MIDI文件的漏洞；國外兵團雖然數量眾多，但很多漏洞卻是非常的古老，例如Crime pack，還包含有2006年的MS06-014的IE6的漏洞。所以，在實戰的感染能力上“蜘蛛兵團”毫不遜色。

    從漏洞兵團最后的目的來講，國內外也有區別。在國外此類病毒主要用來制造僵尸網絡，而“蜘蛛兵團”的意圖更加本土化——竊取游戲帳號密碼。從目前發現的樣本來看，主要是針對目前國內的熱門網游龍之谷。

    同時該盜號木馬會替換以下系統文件：ksuser.dll，midimap.dll，msimg32.dll，包括%system32%目錄下和%system32%\\dllcache目錄下，以達到自啟動和注入的目的。同時為了保證游戲和系統的正常運行，在替換之前會備份原始的動態鏈接庫文件，文件名的形式為yu+原始文件名。

    另外此木馬也會關閉到系統認證服務：cryptsvc。用戶可以使用sc query cryptsvc來查看該服務是否運行正常。

    然后通過rundll32.exe 注冊并運行釋放的dll來竊取用戶的帳號、密碼。用戶如果有發現cryptsvc服務被停止或者刪除，或者是發現系統目錄下存在yuksuser.dll文件，那么極有可能您的系統已經被感染。

    對于防范此類由漏洞兵團發起的病毒，AVG提醒您注意以下幾點：

    1. 及時安裝系統補丁以及常用應用程序（如瀏覽器，adobe等）補丁。
    2. 保證殺毒軟件病毒碼的及時更新。
    3. 避免打開來歷不明的文檔，以及網友或者郵件提供的鏈接。

    目前，AVG永久免費中文版就可以很好的抵御該病毒的攻擊。特別是Link Scanner，其實時掃描功能，確保能夠為用戶抵御最新的被黑網站或漏洞利用網站，真正做到全面防護，領先一步；并且，AVG Link Scanner 會盡可能少地占用系統資源，即使在為您提供Internet沖浪保護時，也不會降低計算機的性能。■