諜客病毒

如果一個網友向你發來名叫“我的照片”的檔案，你是否會迫不及待地打開看看？千萬要注意，近期一個名為“諜客”的惡性病毒下載器正在利用這類方式傳播。360安全中心發現，該病毒利用MSN、QQ等聊天工具傳輸，在侵入一台電腦後，它會自動控制某些版本的聊天工具繼續向所有好友傳送“我的照片”病毒檔案，保守估計目前已感染10萬台電腦。

360安全專家石曉虹博士介紹說，如果網友收到他人傳來的“我的照片”病毒壓縮檔，一旦滑鼠雙擊運行其中的檔案，瞬間就會激活“諜客”病毒下載器，使Windows系統檔案被病毒破壞替換，並自動聯網下載數十個網遊盜號木馬和廣告程式，使受害網友的瀏覽器首頁被鎖定成釣魚網址站，DNF、CF等熱門遊戲面臨丟號威脅，多數安全軟體也會因為受到病毒攻擊而無法正常開啟。

據悉，偽裝成照片來傳播的木馬病毒在過去極為常見，不久前公安機關曾破獲了一名黑客用“黑蝙蝠”木馬偽裝照片、盜竊QQ好友隱私並進行敲詐的案例。但是“諜客”病毒有兩點不同。第一，它在侵入一台電腦後會自動操作某些版本的聊天工具繼續傳送病毒，使病毒傳播範圍成幾何級數放大；第二，它的破壞能力極強，一旦中招，大多數安全軟體根本難以運行，使用戶無法徹底清理查殺。

石曉虹博士介紹說，“諜客”病毒下載器使用了一項特殊的技術來對抗安全軟體。首先，它把Windows系統資料夾中的usp10.dll檔案替換為同名的病毒檔案。由於常用軟體在啟動時需要載入該檔案，“諜客”會在自身被載入後進行判斷過濾：如果是安全軟體啟動，則阻止安全軟體繼續運行；如果是其它軟體啟動，則予以放行，同時也可以使病毒再次運行。

此外，如果是區域網路中的一台電腦感染了“諜客”病毒，它會自動向整個區域網路內的電腦發動ARP欺騙式攻擊，使這些電腦在打開任何網頁時，都會遭到“掛馬”攻擊。除非這些電腦安裝了360安全衛士等具備修復漏洞、攔截“掛馬”功能的產品，否則就會使“諜客”病毒進一步傳播擴散。

截至發稿前，360“木馬防火牆”已針對“諜客”病毒升級了防護規則，可以阻止病毒入侵和運行。同時，360安全軟體均具備“系統修復”功能，可以修復被病毒破壞的Windows系統檔案。此外，360安全衛士內置的網盾模組具備“下載雲安全保護”功能，當用戶使用聊天工具接收他人或病毒自動傳送的檔案時，能夠自動鑑別檔案的安全性，在“諜客”病毒運行前就直接清除