不得不防 假冒微软网站的“网页收割者”木马病毒

不得不防 假冒微软网站的“网页收割者”木马病毒

9月20日，江民科技反病毒中心截获到一个假冒微软网站进行传播的病毒“网页收割者”（Virus.Autorun.dr），该病毒会感染网页文件，向其中插入恶意网址连接，并利用多个系统漏洞下载20多个恶性网游木马，盗取游戏玩家的帐号和密码，给玩家带来极大的损失。

   江民反病毒专家介绍，“网页收割者”病毒采用Delphi 工具编写，病毒运行后，会创建病毒进程crsss.exe，该进程指向的路径为：%WinDir%\System32\crsss.exe，文件大小为 62512字节。病毒会在注册表中添加以下自启动项，以使自己随Windows操作系统同时运行。

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

   "crsss" = %WinDir%\system32\crsss.exe

   该病毒还会搜索硬盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件，向其中插入恶意网址http://mlcro-soft.cn/****.htm，该恶意网址伪装成微软网站，极具欺骗性。病毒还会在系统目录system32下生成下载网游木马列表文件c.txt ，病毒会将这些网游木马下载并且执行。用户一旦点击中毒网页，该恶意网页即可利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行20多个恶性网游木马，盗取游戏玩家的帐号和密码，给玩家带来极大的损失。

江民反病毒专家介绍，“网页收割者”病毒还会通过U盘/MP3/移动硬盘等移动存储设备进行传播，在其中生成autorun.inf和niu.exe两个病毒文件，这样当用户在双击打开U盘的时候就会将病毒激活，从而感染到系统中。该病毒还会强行修改IE首页，将首页设置为http:// mlcro - soft. cn/update.htm 带毒网站，这样用户一打开IE浏览器就会感染病毒。该病毒还会破坏操作系统的注册表相关键值，使系统无法显示隐藏文件。

   针对此病毒，江民科技反病毒中心已经紧急升级了病毒库，只要升级到9月20日的病毒库，即可拦截此病毒的入侵。