(10)“恶小子”及其变种

　　病毒名称：VBS/Fineboy

　　中 文 名：恶小子

　　病毒类型：VBS脚本病毒

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　以VBS/Fineboy.a为例，“恶小子”变种a采用“Visual Basic Script”脚本语言编写，并且进行了加密处理。“恶小子”变种a运行后，会自我复制到被感染系统每个分区的根目录下，并根据该分区的序列号重新命名。隐藏该分区根目录下的文件夹，同时生成对应的快捷方式，以此实现在打开文件夹的同时激活恶意脚本。还会生成“autorun.inf”文件，从而利用系统自动播放功能进行自启。“恶小子”变种a会大量修改系统注册表，致使“显示系统隐藏文件及文件夹”功能失效。篡改“txt”、“inf”、“bat”、“chm”等等扩展名的文件关联，当用户打开这些文件的时候，会首先运行恶意脚本。同时其还修改了“IE”、“我的电脑”等的打开方式。“恶小子”变种a会不断监视系统中的进程，并且会试图关闭一些指定的安全软件以实现自我保护。定时检测系统中自身的运行数量，如果小于指定数量便会试图通过“svchost.exe”运行自我，以此实现了自我保护，防止被轻易地查杀。“恶小子”变种a会在月份数字与日期数字相同时反复弹出光驱以及生成并打开网页文件“BFAlert.hta”。另外，如果用户计算机的系统分区类型为“NTFS”，“恶小子”变种a则可以利用一些系统特性实现开机自启。

2009年度计算机病毒疫情特征

　　2009年计算机病毒疫情总体呈现出如下几个特征：

　　一、 微软0day漏洞及第三方应用软件漏洞被广泛利用

　　进入2009年以来，频繁爆出的微软0day漏洞与第三方应用软件漏洞已经成为骇客攻击的主要目标，同时也成为网页挂马的最主要途径。据江民反病毒中心统计，木马传播者所利用的微软漏洞与第三方应用软件漏洞，已经基本达到各占一半的比例。

　　2009年，微软接连报出了多个“零日”漏洞。5月31日，江民反病毒中心监测发现，微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时，可能导致远程任意代码执行。 7月8日，微软确认视频处理组件DirectShow存在MPEG零日漏洞，江民反病毒中心监测发现大量网站被黑客攻陷，利用该漏洞进行网页挂马。11月12日，微软Windows 7和Windows Server 2008 R2中再曝零日漏洞，此漏洞为Windows网络文件和打印共享协议Server Message Block(SMB)中存在的拒绝式服务漏洞，可被用来进行远程攻击系统，并导致系统内核崩溃。

　　除了微软最新漏洞之外，网页挂马者最青睐的漏洞还包括RealPlayer 、Flash 暴风影音这些最常用的播放软件漏洞。RealPlayer从2008年起就成为骇客挂马的最常用漏洞之一，暴风影音在今年4月30日被首次发现零日漏洞，该漏洞存在于暴风影音ActiveX控件中，该控件存在远程缓冲区溢出漏洞，利用该漏洞，黑客可以制作恶意网页，用于完全控制浏览者的计算机或传播恶意软件。江民反病毒中心监测发现数百个恶意网页利用暴风影音零日漏洞挂马，该漏洞还间接导致了一场江苏等六省断网的黑客内斗事件。

　　Flash漏洞由来已久，2008年上半年“Flash蛀虫”病毒曾利用Flash漏洞大肆传播，导致大量未安装杀毒软件或未更新Flash到最新版本的电脑用户受到病毒侵害。而2009年7月23日，ADOBE公司的Flash再次被爆发现零日漏洞，当用户使用浏览器访问受感染网页的时候，这个安全漏洞可能会导致攻击者控制用户的计算机。Adobe证实，Flash Player 10、Flash Player 9、Reader和Acrobat均存在该严重安全漏洞，很容易遭到黑客攻击。7月31

　　日ADOBE公司发布了该漏洞补丁，但江民反病毒专家已经监测到利用该9 7 3 1 2 3 4 5 6 7 4 8 :

本文来源：华军资讯 作者：厂商投递