桌面伪装木马发威 牧民远程控制作祟

    今日病毒播报：记者从金山毒霸方面获得消息，木马的繁衍趋势愈演愈烈。除了具备更强的伪装形式外，远程控制等传统方式也有“回暖”趋势。

    “桌面伪装木马23552”（Win32.Troj.Downloader.ex.23552），这是一个木马下载者病毒。该病毒运行后，释放一个伪explorer.exe，以便随系统自动启动。从配置信息中读取下载的网址，从该网址处下载其他病毒到用户系统中运行。
 
    “牧民远程控制361984”（Win32.Hack.Delf.388261），这是一个黑客控制木马。该病毒运行后，会自动添加到系统服务。当随系统开机启动后，创建单独的svchost.exe进程，并将dll模块加载到其中，然后开启远程线程创建后门等待黑客控制被感染机器。

    一、“桌面伪装木马23552”（Win32.Troj.Downloader.ex.23552）  威胁级别：★

    病毒进入系统后，在系统盘的%WINDOWS%\system32\目录下释放出BOLE.ini、explorer.exe、netsrv.dll等三个病毒文件。其中explorer.exe是病毒主程序，在释放完毕后，病毒就会把此文件的相关信息写入系统注册表的启动项，这样以后它就可随系统自动启动，由于这个病毒文件与系统桌面进程同名，对用户具有一定迷惑性。

    当成功运行起来，病毒就读取之前释放出的病毒文件BOLE.ini。此文件为病毒配置信息，病毒根据里面的信息，悄悄建立远程连接，从木马种植者指定的地址http://xxxxx.1a2b3c1.net/下载一份名为list.txt的木马列表，再读取其中的地址，下载更多的其它木马程序到中毒电脑中运行，引起更多无法估计的破坏。

    此外，由于木马种植者可随时更改木马列表中的下载地址和程序，因此该病毒也就具备了一定的更新能力。

    二、“牧民远程控制361984”（Win32.Hack.Delf.388261）  威胁级别：★★

    病毒顺利潜入用户系统后，将病毒文件sysi.dll释放到系统盘的%WINDOWS%%\system32目录下，然后修改系统注册表，创建系统服务，将自己设置为开机自启动。对注册表熟悉的用户如果检查注册表，就能发现里面已经被添加了可令电脑自动上线的数据。

    当病毒开始运行，它会创建单独的svchost.exe进程，并将之前生成的dll文件加载到其中，创建后门。然后在用户无法察觉的情况下开启远程线程，连接http://yk2812017.3322.org:8000这个由黑客（木马种植者）指定的地址，使黑客可以控制被感染机器。

    由于svchost.exe在正常的电脑中也可能同时出现多个，这就造成一些初级用户感到迷惑，难以识别哪个是病毒进程。而当黑客控制中毒电脑后，他就能进行几乎任何想要的操作，甚至利用中毒电脑去攻击其它电脑，给用户造成无法估计的损失和麻烦。