Worm/AutoRun.nlx“U盘寄生虫”变种nlx和Trojan/Chifrax.bfz“橘色诱惑”变种bfz值得关注。

　　一、高危病毒简介及中毒现象描述：

　　Worm/AutoRun.nlx“U盘寄生虫”变种nlx是“U盘寄生虫”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“U盘寄生虫”变种nlx运行后，会自我复制到被感染系统的“%ProgramFiles%Common Files”目录下，重新命名为“au.exe”，文件属性设置为“系统、隐藏”。另外，还会在“%SystemRoot%fonts”、“%SystemRoot%fonts”和“%USERPROFILE%”目录下分别释放随机文件名的恶意程序“*.fon”和“Temp~*.tmp”。“U盘寄生虫”变种nlx会在被感染计算机重新启动时，用自身替换“%SystemRoot%system32dllcache”和“%SystemRoot%”目录下的系统文件“explorer.exe”，以此隐藏自我，并且实现了开机自启。安装完成后，其会将自我删除，以此消除痕迹。“U盘寄生虫”变种nlx运行时，会创建新的“svchost.exe”进程，并将恶意代码注入其中隐秘运行。利用释放的恶意驱动程序，其可以关闭指定安全软件的自保护功能并终止其进程。强行篡改注册表，致使一些安全软件无法开机自启动。关闭带有指定字符串的窗口，还会利用文件映像劫持功能干扰大量系统工具、安全软件、诊断程序等的正常启动运行。利用域名映像劫持屏蔽一些安全站点，阻止用户对这些站点的访问。“U盘寄生虫”变种nlx会在被感染系统的后台连接骇客指定的站点“http://ver.win*down.com.cn/”，获取恶意程序下载列表“..downimg.txt”，下载文件中指定的恶意程序并自动调用运行。连接指定的页面“http://dns.winsdown.com.cn/countimg/count.asp”，反馈被感染系统的信息。“U盘寄生虫”变种nlx还会在被感染计算机的系统盘根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件副本(文件属性设置为“系统、隐藏”)，以此实现双击盘符后激活蠕虫的目的，从而给用户造成更多的威胁。另外，其还会修改并锁定用户的IE浏览器主页为“http://www.xi*feng.net”。“U盘寄生虫”变种nlx会通过修改注册表启动项的方式实现开机自启。

　　Trojan/Chifrax.bfz“橘色诱惑”变种bfz是“橘色诱惑”家族中的最新成员之一，是一个经过修改的SFX自解压文件，经过加壳保护。“橘色诱惑”变种bfz运行后，会在被感染系统的“%SystemRoot%system32”文件夹下释放恶意程序“svchos.exe”、“NTSVC.ocx”，还会生成“atday.log”。“橘色诱惑”变种bfz运行时，会隐藏自身进程。连接指定的URL“http://xc.321a*.com/ttt/se4.txt”，读取其中存储的内容，并可能根据其配置下载其它的恶意程序并调用运行，从而给用户造成了更多的威胁。

　　二、针对以上病毒，比特网安全频道建议广大用户：

　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。（大璞不完）