“米伽”变种潜伏U盘 疑似越南病毒流入国内
来源:中国电子政务网 更新时间:2011-08-03

  据新华社报道,一种名为“米伽”变种gst的病毒在8月初现身互联网。根据360安全中心监测,该病毒主要通过U盘传播,它会将中招电脑的浏览器首页篡改为一家英文网站,360杀毒和360安全卫士均可拦截并查杀“米伽”变种gst,建议广大电脑用户在安全软件开启的情况下使用U盘。

  360安全专家石晓虹博士分析说,“米伽”变种gst是一个典型的感染型病毒。如果有U盘感染了该病毒,“米伽”就会伪装为U盘中的文件夹,而把真正的文件夹隐藏起来。当用户电脑插入带毒U盘时,鼠标双击文件夹就会使“米伽”病毒侵入电脑,从而导致电脑中的大量exe文件也被病毒感染,对用户数据安全具有一定威胁。

  石晓虹博士同时表示,“米伽”变种gst的防御难度并不高,电脑安装有效安全软件即可将其拦截。因此,对打印店、办公室等经常使用U盘的电脑来说,只要注意开启安全软件并定期升级,就能有效防范该病毒感染电脑和U盘。

  值得关注的是,“米伽”变种gst会专门破坏一款越南的杀毒软件Bkav,其原始样本应该是由越南流入国内。此外,该病毒还会通过局域网共享文件夹传播,并控制GoogleTalk和YahooMessenger两款国外流行的聊天工具发送病毒消息。

  附:“米伽”变种gst病毒分析

  病毒名称:“米伽”变种gst

  病毒类型:“伪装文件夹”感染型病毒

  病毒行为:

  一、主要传播途径包括U盘等移动存储设备、局域网共享目录以及GoogleTalk和YahooMessenger这两款聊天工具,利用伪装文件夹吸引用户点击,从而激活病毒。

  二、在system32目录下生成autorun.ini和自身文件chrome.exe,windows目录下生成chrome.exe。

  三、感染所有磁盘下的部分EXE文件和名称为目录名的病毒文件,调整文件夹权限属性。

  三、篡改浏览器主页为http://h1.ripway.com/poojasharma/index.html

  四、设置阻止键盘输入,然后自身实现模拟键盘按键,之后恢复键盘输入。

  五、枚举计算机的共享目录,拷贝病毒到其目录下,与共享目录名相同的病毒文件。

  六、禁用任务管理器、禁用注册表工具,修改注册表WINLOGON和RUN项为病毒文件实现自启动,自动更新下载更多恶意程序。

  七、从资源管理器菜单和控制面板删除文件夹选项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions = 1,并关闭带有Bkav2006,game_y,System Configuration,Registry,Windows Task开头的窗口,定期结束cmd进程,删除BkavFw和IEProtection在启动项的值。

  八、通过读取注册表googletalk和ymsgr的目录,然后运行"googletalk"和"YahooMessenger" 定期发送消息进行传播,从而进一步扩散病毒传播范围。


参考链接:http://www.itbear.com.cn/AnQuan/2011-08/44707.html