自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

冠群金辰6月第4周報告:常見木馬族有所回升

作者:冠群金辰
安全
但從本周收集病毒種類來看,比較常見的幾個木馬家族變體數(shù)量上相對前一周有所回升。數(shù)量最多最常見的木馬家族:Win32/GamePass家族(網(wǎng)游類;本周22種變體),Win32/Loodok!generic(下載器類;2種變體),Win32.SillyDL (下載器類;5種變體)Win32.Wowpa(網(wǎng)游/后門類;3種變體)。

【51CTO.com 綜合消息】總體病毒狀況繼續(xù)保持前一周相對平靜的勢態(tài),未發(fā)現(xiàn)嚴重危害的新型病毒。但從本周收集病毒種類來看,比較常見的幾個木馬家族變體數(shù)量上相對前一周有所回升。數(shù)量最多最常見的木馬家族:Win32/GamePass家族(網(wǎng)游類;本周22種變體),Win32/Loodok!generic (下載器類;2種變體),Win32.SillyDL (下載器類;5種變體)Win32.Wowpa(網(wǎng)游/后門類;3種變體)。

本周關(guān)注的新病毒家族:

病毒名稱:Win32.Vundo Family

其它名稱:Adware-Virtumondo (McAfee), Win32/Vundo, Trojan.Vundo (Symantec), Win32/Vundo!generic, Win32.Vundo.A, TROJ_VUNDO.A (Trend),

病毒屬性:特洛伊木馬 

危害性:中等危害 

流行程度:中

病毒特性:

Win32/Vundo 是一種有惡意廣告行為的特洛伊病毒。

感染方式:

Vundo 的一些變體可能使用任意文件名,很多變體下載的原始文件是bkinst.exe文件。

Vundo變體在%Windows%的多個子目錄中生成并運行病毒副本文件:

addins/、AppPatch/、assembly/、Config/、Cursors/、Driver Cache/、Drivers/、
Fonts/、Help/、inf/、java/、Microsoft.NET/、msagent/、Registration/、repair/、security/、
ServicePackFiles/、Speech/、system/、system32/、Tasks/、Web/、Windows Update Setup 、Files/、Microsoft/

文件名是任意生成的 .exe 文件。

例如:%Windows%\Cursors\wavedvd.exe

Vundo 變體修改以下注冊表啟動部分鍵值,以確保在每次系統(tǒng)啟動時運行病毒文件:

鍵值名稱通常以 "*" 開頭,例如:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*MS Setup
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*WinLogon

Vundo 還會在%Temp%目錄中生成DLL文件,文件名是可運行文件名稱字母的反順序,擴展名為 .dat 。例如,如果生成的可運行文件是wavedvd.exe,那么在%Temp%目錄中就會生成dvdevaw.dat文件。

這個DLL文件作為一個服務加載,用來保護病毒的主要運行程序。DLL注入到系統(tǒng)中任意正在運行的程序中,如果病毒的主要程序被發(fā)現(xiàn)并被終止,那么它就會利用加載DLL的程序從系統(tǒng)內(nèi)存中重新啟動病毒文件。使用內(nèi)存中保存的病毒副本備份,重新生成被刪除的文件。

DLL 還會生成BHO (Browser Helper Object),如以下注冊表鍵值:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
\{68132581-10F2-416E-B188-4E648075325A}

可運行程序還會在當前目錄中生成一個配置文件,文件名稱省略原文件的第一個字母,擴展名為.ini 。例如,如果可運行程序是dropper.exe,那么生成的配置文件名稱就為reppord.ini。

如果配置文件存在,那么Vundo 就會使用相同的文件名稱生成一個備份,擴展名為.bak1 和 .bak2 。

危害

后門功能

Vundo 嘗試從virtumonde.com域下載并運行文件,有些變體還會利用62.4.84.* IP范圍內(nèi)的服務器。

Vundo 打開一個后門,從遠程主機接收命令,執(zhí)行以下操作:

修改Windows hosts 文件,阻止用戶訪問某些網(wǎng)站; 

◆顯示彈出窗口; 

◆添加/設置/獲取cookies; 

◆改變URL; 

◆下載文件; 

◆搜索瀏覽頁面查找關(guān)鍵字; 

◆修改注冊表鍵值; 

◆改變控制的主機地址; 

◆記錄、發(fā)送瀏覽到的數(shù)據(jù); 

◆記錄用戶輸入/改變用戶輸入。

本周常見較活躍病毒列表及變體數(shù)量:

 
表1

其他近期新病毒的資料可參考:

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建議:

1、對于個人PC,重要的系統(tǒng)補丁應及時安裝;對于企業(yè)用戶,應加強補丁管理意識,尤其對服務器等重要系統(tǒng)應盡早安裝;

2、不訪問有害信息網(wǎng)站,不隨意下載/安裝可疑插件,并檢查IE的安全級別是否被修改;

3、使用KILL時注意及時升級到最新的病毒庫版本,并保持時時監(jiān)視程序處于開啟狀態(tài);

4、不要隨意執(zhí)行未知的程序文件;

5、合理的配置系統(tǒng)的資源管理器(比如顯示隱含文件、顯示文件擴展名),以便能夠更快地發(fā)現(xiàn)異常現(xiàn)象,防止被病毒程序利用;

 

責任編輯:許鳳麗 來源: 51CTO.com
病毒木馬冠群金辰
相關(guān)推薦

2009-04-15 11:00:05

2009-04-28 11:11:15

木馬病毒冠群金辰

2009-06-16 08:48:43

2009-06-01 16:55:43

2009-09-15 16:56:36

2009-03-03 09:37:05

2009-05-19 09:00:04

家族變體病毒冠群金辰

2009-06-23 09:49:47

2009-05-07 15:50:44

2009-07-14 13:55:06

2009-09-08 21:26:17

2009-05-12 09:03:17

2009-03-25 11:28:10

2009-07-27 19:29:58

2009-06-23 13:21:16

2009-03-26 12:34:03

木馬病毒周報

2009-04-25 08:33:52

2009-06-29 10:44:54

2009-02-24 10:20:29

2009-02-11 11:25:21

點贊
收藏

51CTO技術(shù)棧公眾號