金山毒霸云安全中心日前最先發(fā)現(xiàn)的貓癬幕后推手－－螃蟹集團(tuán)，是目前活躍在圈中的五大集團(tuán)之一，螃蟹集團(tuán)將貓癬下載器及用于漏洞攻擊的網(wǎng)馬鏈接上傳到托管服務(wù)器上，并通過入侵流量較大的知名網(wǎng)站，購買網(wǎng)站流量等方式廣泛掛馬。當(dāng)用戶訪問這些被掛馬知名網(wǎng)站時，就會不知不覺被安裝上貓癬下載器。

據(jù)累計推算，短短一個月時間，已經(jīng)累計約3000萬臺次計算機(jī)訪問過惡意網(wǎng)頁，其中造成約數(shù)百萬臺次電腦感染"貓癬"病毒。這款病毒除了強(qiáng)烈的對抗性，流行的原因還在于"貓癬"病毒分銷渠道之多，安裝量之大。

據(jù)一個資深黑客的介紹，如螃蟹集團(tuán)這樣的掛馬集團(tuán)，收入主要來源于兩個方面：盜號集團(tuán)支付給他們的入門費(fèi)用，以及病毒下載器的推廣費(fèi)用。掛馬集團(tuán)收取的入門費(fèi)平均一個盜號木馬價格在3000元左右，一個貓癬下載器通常情況下可以掛到28個盜號木馬，費(fèi)用一個月份收取一次，那么一個月的交易總額84萬，一年下來入門費(fèi)的收入總額為1000萬左右。

 貓癬病毒前世今生：

1、貓癬一代主要特點(diǎn)

（1）釋放大量usp10.dll，干擾清除

（2）挾持迅雷，導(dǎo)致不能運(yùn)行迅雷

（3）卸載360,對抗對其他安全軟件無效

（4）感染輸入法文件ctfmon.exe，使輸入法不能正常使用。

2、貓癬二代主要特點(diǎn)

（1）特殊路徑釋放usp10.dll，實(shí)現(xiàn)自啟動

（2）下載特殊usp10.dll釋放到游戲安裝目錄進(jìn)行盜號,這個新型盜號木馬會盜取 征途，問道，傳奇魔獸世界等知名網(wǎng)友賬號，同時感染主機(jī)會執(zhí)行服務(wù)端返回的任意指令。

（3）此樣本通過其他下載器下載本身不通過第三方漏洞攻擊傳播

3 貓癬三代主要特點(diǎn)

（1）此次不通過IFEO干擾迅雷運(yùn)行，而是不斷的關(guān)閉迅雷的進(jìn)程

（2）主程序不釋放usp10.dll，相關(guān)功能集成到到下載的木馬列表內(nèi)

（3）去除無用的對抗殺軟的代碼，增強(qiáng)卸載刪除360代碼

（4）感染輸入法文件ctfmon.exe，使輸入法不能正常使用。

貓癬系列其他信息

（1）目前下載的木馬群都包含ms08-67掃蕩波攻擊局域網(wǎng)

（2）下載的盜號木馬主要為新HBkernel32蝗蟲系列(樂意)

（3）目前掛的比較多的惡意域名下載都指向貓癬，示意如下

一群亂七八糟的域名－－>個周期性變化的惡意域名－－>個周期性變化的下載器下載地址

貓癬病毒的防御方案

1、病毒防御方案

1）、更新病毒庫、開啟實(shí)時監(jiān)控。
金山毒霸反病毒應(yīng)急中心及時進(jìn)行了病毒庫更新，升級毒霸到2009年1月21日的病毒庫即可查殺以上病毒，但病毒產(chǎn)業(yè)鏈的從業(yè)者會不斷更新惡意軟件，現(xiàn)在正處于黑色產(chǎn)業(yè)和安全廠商競速的階段。專家提醒，一定要開啟實(shí)時監(jiān)控功能，以降低安全風(fēng)險。

2）、 使用金山系統(tǒng)清理專家打全補(bǔ)丁，安裝金山系統(tǒng)清理專家不會與任何殺毒軟件產(chǎn)生沖突，所以非毒霸用戶也可以放心下載此軟件更新漏洞補(bǔ)丁，特別提醒局域網(wǎng)用戶 及時安全ms08-67漏洞以防御病毒攻擊。特別提醒中毒的用戶不要輕易重裝系統(tǒng)，因?yàn)樾卵b的系統(tǒng)存在大量漏洞，極易再次中毒。

3）、推薦網(wǎng)民安裝金山網(wǎng)盾以防止該病毒通過網(wǎng)頁惡意代碼入侵你的系統(tǒng)。

2、病毒查殺方案：

金山系統(tǒng)急救箱可修復(fù)貓癬下載器造成的許多異常。對于沒及時更新病毒庫或非毒霸用戶如果不小心感染此病毒，可以在http://www.duba.net/zhuansha/263.shtml 免費(fèi)下載最新版金山急救箱進(jìn)行查殺。撥打金山毒霸反病毒急救電話010- 82331816，反病毒專家將為您提供幫助。

因?yàn)榻鹕较到y(tǒng)急救箱不是依靠病毒特征查殺的，在使用急救箱修復(fù)殺毒軟件和系統(tǒng)異常之后，強(qiáng)烈建議使用殺毒軟件全面掃描你的系統(tǒng)。

yajing