【51CTO.com 綜合消息】近日，被譽為“2009年首牛木馬”的貓癬病毒依舊活躍在互聯網上。在金山毒霸等反病毒廠商的合力圍剿之下，23日，貓癬病毒作者已悄悄將病毒源頭——病毒服務器從廣東江門移入廣東東莞。
 
金山毒霸云安全中心日前最先發現的貓癬幕后推手－－螃蟹集團，是目前活躍在圈中的五大集團之一，螃蟹集團將貓癬下載器及用于漏洞攻擊的網馬鏈接上傳到托管服務器上，并通過入侵流量較大的知名網站，購買網站流量等方式廣泛掛馬。當用戶訪問這些被掛馬知名網站時，就會不知不覺被安裝上貓癬下載器。

據累計推算，短短一個月時間，已經累計約3000萬臺次計算機訪問過惡意網頁，其中造成約數百萬臺次電腦感染“貓癬”病毒。這款病毒除了強烈的對抗性，流行的原因還在于“貓癬”病毒分銷渠道之多，安裝量之大。

據一個資深黑客的介紹，如螃蟹集團這樣的掛馬集團，收入主要來源于兩個方面：盜號集團支付給他們的入門費用，以及病毒下載器的推廣費用。掛馬集團收取的入門費平均一個盜號木馬價格在3000元左右，一個貓癬下載器通常情況下可以掛到28個盜號木馬，費用一個月份收取一次，那么一個月的交易總額84萬，一年下來入門費的收入總額為1000萬左右。

圖2

貓癬病毒前世今生：

1、貓癬一代主要特點

（1）釋放大量usp10.dll，干擾清除
（2）挾持迅雷，導致不能運行迅雷
（3）卸載360,對抗對其他安全軟件無效
（4）感染輸入法文件ctfmon.exe，使輸入法不能正常使用。

2、貓癬二代主要特點

（1）特殊路徑釋放usp10.dll，實現自啟動
（2）下載特殊usp10.dll釋放到游戲安裝目錄進行盜號,這個新型盜號木馬會盜取 征途，問道，傳奇魔獸世界等知名網友賬號，同時感染主機會執行服務端返回的任意指令。
（3）此樣本通過其他下載器下載本身不通過第三方漏洞攻擊傳播

3 、貓癬三代主要特點

（1）此次不通過IFEO干擾迅雷運行，而是不斷的關閉迅雷的進程
（2）主程序不釋放usp10.dll，相關功能集成到到下載的木馬列表內
（3）去除無用的對抗殺軟的代碼，增強卸載刪除360代碼
（4）感染輸入法文件ctfmon.exe，使輸入法不能正常使用。

貓癬系列其他信息

（1）目前下載的木馬群都包含ms08-67掃蕩波攻擊局域網 
（2）下載的盜號木馬主要為新HBkernel32蝗蟲系列(樂意)
（3）目前掛的比較多的惡意域名下載都指向貓癬，示意如下
     一群亂七八糟的域名－－>個周期性變化的惡意域名－－>個周期性變化的下載器下載地址

貓癬病毒的防御方案

1、病毒防御方案

1）、更新病毒庫、開啟實時監控。
金山毒霸反病毒應急中心及時進行了病毒庫更新，升級毒霸到2009年1月21日的病毒庫即可查殺以上病毒，但病毒產業鏈的從業者會不斷更新惡意軟件，現在正處于黑色產業和安全廠商競速的階段。專家提醒，一定要開啟實時監控功能，以降低安全風險。

2）、使用金山系統清理專家打全補丁，安裝金山系統清理專家不會與任何殺毒軟件產生沖突，所以非毒霸用戶也可以放心下載此軟件更新漏洞補丁，特別提醒局域網用戶 及時安全ms08-67漏洞以防御病毒攻擊。特別提醒中毒的用戶不要輕易重裝系統，因為新裝的系統存在大量漏洞，極易再次中毒。

3）、推薦網民安裝金山網盾以防止該病毒通過網頁惡意代碼入侵你的系統。

2、病毒查殺方案：

金山系統急救箱可修復貓癬下載器造成的許多異常。對于沒及時更新病毒庫或非毒霸用戶如果不小心感染此病毒，可以在http://www.duba.net/zhuansha/263.shtml 免費下載最新版金山急救箱進行查殺。撥打金山毒霸反病毒急救電話010- 82331816，反病毒專家將為您提供幫助。

因為金山系統急救箱不是依靠病毒特征查殺的，在使用急救箱修復殺毒軟件和系統異常之后，強烈建議使用殺毒軟件全面掃描你的系統。