病毒预报  第六百八十四期（2016.5.6-2016.5.12）

国家计算机病毒应急处理中心通过对互联网的监测发现，利用UNICODE反转字符串技术进行传播的病毒出现。该类型恶意病毒通常通过电子邮件进行传播，并利用社会工程学技术诱骗计算机用户下载其附件。一旦计算机用户点击附件中的压缩包，解压后则会生成具有如jpg、txt等通用扩展名的迷惑性恶意代码文件。

我们分析发现，该类型病毒采用的UNICODE反转字符串技术还常应用于假冒真实文件中，例如通过修改系统host文件，来构造假冒文件。hosts文件是Windows系统中一个负责IP地址与域名快递解析的文件。利用该技术首先会察看hosts文件汇总有没有关于此域名IP地址的记录。如果有，就直接登陆该网站；如果没有再查询DNS服务器，通过劫持该文件来修改域名和IP的对应关系。恶意代码作者可以通过该技术将文件隐藏，并构造一个假冒的host文件，用来掩盖真实的文件。

另外，这种技术被恶意代码作者发现并加以使用，其利用“RLO”方式去处理文件名、注册表项名称等资源，实现了迷惑计算机用户的目的（比如：<文件名>gpj.exe转换为<文件名>exe.jpg）。

专家提醒：

针对这种情况，国家计算机病毒应急处理中心建议采取如下措施，阻止该类型病毒利用UNICODE反转字符串技术迷惑计算机用户点击，防范病毒对操作系统的入侵感染：

（一）在文件夹中显示文件的“详细信息”；

（二）隐藏文件扩展名；

（三）通过CMD命令显示文件名。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心