最新病毒库日期:
  • 一周安全播报(3.6-3.12)
2017-03-13 10:00 来源:未知
【文章摘要】上周互联网安全威胁程度为中度。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(7865→10576)上升了34% ,而感染的计算机台数(145258→218175)上升了50% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Downloader.DoubleAgent.a 暂无 ↑2  4.02% 8619
  2 Malware.Heur2.ix 暂无  2.97% 6359
  3 Backdoor/Bifrose.lkj 暂无 ↓2  2.64% 5652
  4 Backdoor/Bifrose.mgn 暂无 ↓2  1.52% 3250
  5 Variant.Graftor.cdt 暂无  1.52% 3250
  6 Trojan.Generic.aritr 暂无 ↓2  1.38% 2967
  7 TR.Dldr.a 暂无  1.05% 2261
  8 RiskTool.KuaiZip.m 暂无  1.05% 2261
  9 RiskTool.KuaiZip.h 暂无  0.92% 1978
  10 Downloader.Donex.t 暂无  0.92% 1978
  合计         38575
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:   
病毒名称: Trojan/Win32.Papras.ri
病毒类型: 木马
文件 MD5: 88e26c67b8b8220a2dcb4cf1e945d712
公开范围: 完全公开
危害等级: 4
文件长度: 112,640 字节
感染系统: Windows98以上版本
病毒描述  
      该病毒运行后会进行自删除,并创建衍生文件到系统目录。遍历进程查找IE,火狐等浏览器,并删除用户计算机上的对应cookie记录,使用户在登陆相关网站时需要重新输入密码。该进程会将窃取到的用户敏感信息通过后台发送到指定的远程服务器站点。该木马还有远程下载恶意代码的能力。
行为分析-本地行为
1、衍生cleastat.dll(该dll文件名随用户使用的系统不同生成不同文件名)文件到 %system32% 文件夹下
2、新增注册表
[HKEY_LOCAL_MACHINE\SYSTEM\software\microsoft\windows\currentversion\run]
类型:字符串:
值: "C:\WINDOWS\system32\cleastat.dll"
描述:添加启动项
3、病毒运行后,首先创建互斥量,然后遍历进程查找Firefox.exe、chrome.exe、opera.exe、safari.exe,如果查到到有浏览器进程,将衍生文件cleastat.dll注入到该类进程中,如果没有找到上述进程,病毒将创建一个IE进程并注入。注入完成后,病毒将查找浏览器存放cookie记录的文件夹,将对应应用程序的cookie记录删除,记录用户再次在浏览器中登陆操作,回传到病毒作者指定的地址。
行为分析-网络行为
记录用户在浏览器中的输入发送到指定的地址
数据回传格式:http://%s%s?user%%5fid=%.4u&version%%5fid=%lu&passphrase=%s&socks=%lu&version=%lu&crc=%.8x
数据回传地址:
thecargotime.com、rettinasl.com、hasterulits.com、newporto.cn、newlisbon.cn
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。