最新病毒库日期:
  • 一周安全播报(4.3-4.9)
2017-04-10 09:16 来源:未知
【文章摘要】(一)总体情况分析 上周互联网安全威胁程度为中度。 (二)计算机病毒情况 1、上周计算机病毒威胁程度为(轻度、中度、严重),判断依据? 上周计算机病毒威胁程度为中度。 2、
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(9018→5962)下降了51% ,而感染的计算机台数(148422→102975)下降了44% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Downloader.DoubleAgent.a 暂无 →0  4.75% 4804
  2 TrojanDownloader.JS.bbah 暂无 →0  2.65% 2685
  3 Backdoor.Androm.oeq 暂无  2.51% 2543
  4 Trojan.Generic.aritr 暂无  1.82% 1837
  5 Backdoor/Bifrose.lkj 暂无 ↓2  1.68% 1696
  6 TrojanDropper.Injector.bkye 暂无  1.68% 1696
  7 Backdoor/Bifrose.mgn 暂无  1.12% 1130
  8 Downloader.Generic.gsr 暂无  1.12% 1130
  9 Downloader.Donex.t 暂无  0.98% 989
  10 Exploit.BypassUAC.cb 暂无  0.98% 989
  合计         19499
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:   
病毒名称: Trojan/win32.Agent.ver[Rootkit]
病毒类型: 后门
文件 MD5: 5C3BE8210DEEF401E1CF4A8623B068EE
公开范围: 完全公开
危害等级: 4
文件长度: 266,999 字节
感染系统: Windows98以上版本
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
病毒描述 
该病毒为后门类病毒,病毒运行后,释放病毒驱动文件到%system32%\drivers目录下替换该目录下的beep.sys文件,创建驱动设备名“\\.\RiSing2008”利用系统beep服务启动病毒服务,恢复SSDT躲避卡巴主动防御提示,等待启动完毕后还原beep.sys文件,衍生病毒DLL文件到%system32%目录下,动态加载病毒DLL文件,创建病毒服务、以服务方式启动病毒,病毒运行后删除自身,开启一个svchost.exe进程进行通信,被感染的用户会主动连接病毒作者的IP地址,等待控制端发送控制指令。
行为分析-本地行为
1、 文件运行后会释放以下文件
%System32%\TpmetcD.dll
2、创建驱动设备名“\\.\RiSing2008”利用系统beep服务启动病毒服务,恢复SSDT躲避卡巴主动防御提示,等待启动完毕后还原beep.sys文件。
3、创建病毒服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MediaCenter\Description
值: 字符串: "Provides support for media palyer. This service can't be stoped."
描述:病毒服务描述
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MediaCenter\DisplayName
值: 字符串: "MS Media Control Center"
描述:病毒服务名
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MediaCenter\Parameters\ServiceDll
值: 字符串: "C:\WINDOWS\system32\TfmutnD.dll."
描述:病毒服务启动文件路径
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MediaCenter\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MediaCenter\Type
值: DWORD: 16 (0x10)
描述:病毒启动方式及类型
4、动态加载病毒DLL文件,创建病毒服务、以服务方式启动病毒,病毒运行后删除自身,开启一个svchost.exe进程进行通信,被感染的用户会主动连接病毒作者的IP地址,等待控制端发送控制指令。
行为分析-网络行为
协议:TCP
端口:6767`
IP地址:58.53.128.** 
连接IP地址等待控制端发送控制命令
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。