HACKER MEDICINE

        W32.Mabezat.B是一种蠕虫病毒，其最大的特点是传播方式多种多样，用户稍有不慎就可能使计算机受到该蠕虫感染。运行时，该蠕虫首先会开启用户计算机中的自动播放功能，并且设置隐藏系统属性文件以避免被用户发现。
 
        W32.Mabezat.B主要通过以下方式进行传播：

1. 拷贝自身到移动存储设备并写入autorun.inf；
2. 把自身拷贝到开有网络共享的计算机，并重命名为一些大家熟悉的文件名，如My documents.exe，Readme.doc.exe等；
3. 把自己作为附件通过垃圾邮件发送出去，并将附件命名为office_crack.rar、RecycleBinProtect.exe等以诱使用户点击；
4. 把自身拷贝到%UserProfile%Local SettingsApplication DataMicrosoftCD Burning目录，这样用户在做刻录操作时就会自动把病毒刻录到光盘上；
5. 感染用户计算机中的可执行程序。感染后的文件被检测为W32.Mabezat.B!inf。

        因此，建议用户关闭计算机的自动播放功能；在打开移动存储设备前先对其进行安全扫描；尽量不要使用网络共享；不要轻易打开来历不明的邮件及其附件；及时更新安全软件病毒定义库以抵御该蠕虫病毒的威胁。
 

        Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区（Master Boot Record，MBR）的感染型病毒，危害性强且技术含量高。自2010年3月该病毒被首次曝光后（又名“鬼影病毒”），近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。
 
        之前的Trojan.Mebratix病毒感染计算机后，会将主引导区的原代码拷贝到下一个扇区，并用恶意代码替换原引导区的代码。由此，该病毒便获取了先于操作系统的启动权，而且一般的系统重装无法彻底清除该病毒。
 
        而新变种Trojan.Mebratix.B在感染计算机的同时，更大大提升了自身的隐蔽性。分析显示，Trojan.Mebratix.B在感染系统主引导区以后，不会直接将恶意代码放置到主引导扇区，而是将其放置到主引导扇区之后的其他扇区。如下图所示：

                        图一Trojan.Mebratix.B恶意代码所在内存位置

        接下来，Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数，在主引导区内调用和执行恶意代码。如下图所示：

                        图二   系统引导时的扩展内存读取

        而原主引导代码则被Trojan.Mebratix.B放置至第三扇区，如下图所示：

                        图三原主引导区代码被挪后

        这样，变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权，并且很好地隐藏了感染代码，令其不易被安全软件检测到。
 
        此外，新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中，使得一般工具无法找到恶意代码的隐匿之处。
 
        Trojan.Mebratix.B运行后，还会将恶意代码注入到explorer进程，从网站http://www.t[REMOVED].cn/n.txt下载文件，以及将计算机相关信息发送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.
 
        Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。

        Trojan.Heloag是一个木马程序，它会在被感染的计算机中开启后门，并下载及执行其它恶意程序。运行时，Trojan.Heloag会添加注册表以实现开机自动运行，并在Windows目录下释放一个恶意文件。值得注意的是，Trojan.Heloag非常善于隐藏自身：它将被释放的恶意文件的属性设置为系统保护文件，并且在受害计算机的注册表中设置隐藏所有系统保护文件。下图是感染该木马后隐藏系统保护文件的设置状态：

        同时，该木马不允许用户修改计算机的该状态设置。
 
        因此，用户如果直接使用浏览器打开Windows目录则无法查看到包括该恶意文件在内的属性为系统保护文件的所有文件，只有使用专门的工具（如IceSword）才能查看到这些被隐藏的系统保护文件。下图是分别使用普通浏览器和IceSword工具查看到的Windows文件目录：

        Trojan.Heloag释放的恶意文件被命名为ThunderUpdate.exe。用户即使查看到该文件，也可能很容易被该名字所欺骗，误以为这是P2P软件“Thunder(迅雷)”的自动更新程序从而放松警惕。
 
        Trojan.Heloag还会尝试访问一些站点以试图下载更多的恶意程序到用户计算机中。Trojan.Heloag还将试图连接到另一恶意站点的8090端口。如果连接成功，该木马会在受感染计算机中开启后门，从而接受攻击者的远程命令。
 
        建议用户保持更新安全软件病毒库以抵御该病毒威胁。不要轻易访问可疑网站。一旦发现无法查看系统保护文件并且无法更改关于隐藏系统保护文件的设置状态，请立即使用诺顿安全软件对您的电脑进行全盘扫描。

        QQ是一个拥有广大客户群的即时聊天工具，因此也出现了许多针对QQ的病毒攻击。赛门铁克安全响应中心近期检测到QQ盗号木马Trojan.PWS.QQPass的又一新变种。
 
        运行时，它会首先检查用户是否安装了QQ聊天工具。如果检测到有，它就会在QQ安装目录下释放一个名为qqc.dll的动态链接库文件并且选择一个会被QQ.exe加载的.dll文件进行感染，然后将感染后的该.dll文件导入qqc.dll。这样，当用户运行QQ时，qqc.dll将会被加载。qqc.dll会创建一个线程不断搜索QQ用户登录窗口，一旦找到，它会立即将真实的登录窗口隐藏起来，并抛出一个非常逼真的名为“QQ用户登录”的假冒登录窗口。图一、图二分别是假冒登录窗口与真实的QQ登录窗口：

                                   图一：假冒登录窗口

                            图二：真实的QQ登录窗口

        可见，用户如果不仔细辨别则很难区分真伪。但是，与真实的QQ登录窗口不同的是，如果用户点击假冒窗口中的“查杀木马”或“设置”按钮，该窗口不会作出任何响应。图三、图四分别是这两个真假窗口的组件信息：

                      图三：假冒登录窗口的组件信息

                     图四：真实的QQ登录窗口的组件信息

        一旦用户在假冒的登录窗口中输入QQ号码及密码并点击其上的登录按钮，这些信息就会被发送到指定的地址。该木马非常狡猾，为了避免自己的恶意行为被发现，它会把用户输入的登录信息同时转送至真实的登录窗口以便QQ正常登录，使受害用户误以为一切正常。
 
        该病毒通常通过网页挂马的方式来到受害用户计算机。因此，我们建议用户尽量不要访问可以网站，以免感染该病毒。