Win32.Hack.Delf.388261

在春节期间,香港娱乐圈爆发了一场非常轰动的时件,那就关于陈冠希和众多大牌明星的一系列“艺术照”被人公诸于世．这一系列“艺术照”瞬间成为了众人下载的一个亮点．可就因此,病毒制造者也给大家来点惊喜,在图片中隐藏着一些后门程序,当你打开那照片或exe可执行文件时,你就在不知不觉中中毒了,而且还不知道怎么处理这些东西：

　　那么,下面就让我来给大家看看分析成果,由于艳门照的版本很多,所以不同版本有不同的病毒,但是都是查不多,下面就拿个典范给大家看看：

　　首先,这就是一个后门程序,有远程控制的迹象．

1.复制文件：
%sys32dir%\sysi.dll

2.添加注册表
添加以下注册表项,创建系统服务,并设置为开机自启动：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netcu]
ImagePath = “C:\WINDOWS\system32\svchost.exe -k network”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netcu\Parameters]
ServiceDll = “C:\WINDOWS\system32\sysi.dll”
另外还有以下配置信息：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
Info = “yk2812017.3322.org:8000>>上线>远程上线主机>25>0>1080>guest>123456>”
Beizhu = “上线”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
network = “netcu”

3.破坏方式
该木马运行后,释放dll文件到system32文件夹,并添加到系统服务,随系统开机启动后,创建单独的svchost.exe进程并将dll模块加载到其中,开启远程线程创建后门等待黑客控制被感染机器.从而才造成财产损失，后悔末及啊！

4.相关网址
可能通过该网址进行连接上线.等待黑客控制。

　　这样分析,我想大家应该知道这是什么东东了吧.

　　这个病毒在我接收到样本时就紧急处理了,所以广大用户要做的就是升级毒霸,可是要提醒大家的是,不少黑客还应该做了其他一些的病毒放在与此相关的相片或网页中,大家可就要在看这些‘艺术照“的时候擦亮眼睛,提醒警惕哦,别乱性了.

专家预防建议:

1.建立良好的安全习惯，不打开可疑邮件和可疑网站。

2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。

4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。

6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

7.不要从不可靠的渠道下载软件和图片，因为这些软件和图片很可能是带有病毒的。