近日,被誉为"2009年首牛木马"的猫癣病毒依旧活跃在互联网上。在金山毒霸等反病毒厂商的合力围剿之下,23日,猫癣病毒作者已悄悄将病毒源头--病毒服务器从广东江门移入广东东莞。
金山毒霸云安全中心日前最先发现的猫癣幕后推手--螃蟹集团,是目前活跃在圈中的五大集团之一,螃蟹集团将猫癣下载器及用于漏洞攻击的网马链接上传到托管服务器上,并通过入侵流量较大的知名网站,购买网站流量等方式广泛挂马。当用户访问这些被挂马知名网站时,就会不知不觉被安装上猫癣下载器。
据累计推算,短短一个月时间,已经累计约3000万台次计算机访问过恶意网页,其中造成约数百万台次电脑感染"猫癣"病毒。这款病毒除了强烈的对抗性,流行的原因还在于"猫癣"病毒分销渠道之多,安装量之大。
据一个资深黑客的介绍,如螃蟹集团这样的挂马集团,收入主要来源于两个方面:盗号集团支付给他们的入门费用,以及病毒下载器的推广费用。挂马集团收取的入门费平均一个盗号木马价格在3000元左右,一个猫癣下载器通常情况下可以挂到28个盗号木马,费用一个月份收取一次,那么一个月的交易总额84万,一年下来入门费的收入总额为1000万左右。
猫癣病毒前世今生:
1、猫癣一代主要特点
(1)释放大量usp10.dll,干扰清除
(2)挟持迅雷,导致不能运行迅雷
(3)卸载360,对抗对其他安全软件无效
(4)感染输入法文件ctfmon.exe,使输入法不能正常使用。
2、猫癣二代主要特点
(1)特殊路径释放usp10.dll,实现自启动
(2)下载特殊usp10.dll释放到游戏安装目录进行盗号,这个新型盗号木马会盗取 征途,问道,传奇魔兽世界等知名网友账号,同时感染主机会执行服务端返回的任意指令。
(3)此样本通过其他下载器下载本身不通过第三方漏洞攻击传播
3 猫癣三代主要特点
(1)此次不通过IFEO干扰迅雷运行,而是不断的关闭迅雷的进程
(2)主程序不释放usp10.dll,相关功能集成到到下载的木马列表内
(3)去除无用的对抗杀软的代码,增强卸载删除360代码
(4)感染输入法文件ctfmon.exe,使输入法不能正常使用。
猫癣系列其他信息
(1)目前下载的木马群都包含ms08-67扫荡波攻击局域网
(2)下载的盗号木马主要为新HBkernel32蝗虫系列(乐意)
(3)目前挂的比较多的恶意域名下载都指向猫癣,示意如下
一群乱七八糟的域名-->个周期性变化的恶意域名-->个周期性变化的下载器下载地址
猫癣病毒的防御方案
1、病毒防御方案
1)、更新病毒库、开启实时监控。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2009年1月21日的病毒库即可查杀以上病毒,但病毒产业链的从业者会不断更新恶意软件,现在正处于黑色产业和安全厂商竞速的阶段。专家提醒,一定要开启实时监控功能,以降低安全风险。
2)、 使用金山系统清理专家打全补丁,安装金山系统清理专家不会与任何杀毒软件产生冲突,所以非毒霸用户也可以放心下载此软件更新漏洞补丁,特别提醒局域网用户 及时安全ms08-67漏洞以防御病毒攻击。特别提醒中毒的用户不要轻易重装系统,因为新装的系统存在大量漏洞,极易再次中毒。
3)、推荐网民安装金山网盾以防止该病毒通过网页恶意代码入侵你的系统。
2、病毒查杀方案:
金山系统急救箱可修复猫癣下载器造成的许多异常。对于没及时更新病毒库或非毒霸用户如果不小心感染此病毒,可以在http://www.duba.net/zhuansha/263.shtml 免费下载最新版金山急救箱进行查杀。拨打金山毒霸反病毒急救电话010- 82331816,反病毒专家将为您提供帮助。
因为金山系统急救箱不是依靠病毒特征查杀的,在使用急救箱修复杀毒软件和系统异常之后,强烈建议使用杀毒软件全面扫描你的系统。