最新病毒库日期:
  • 一周安全播报(4.17-4.23)
2017-04-24 10:22 来源:未知
【文章摘要】(一)总体情况分析 上周互联网安全威胁程度为中度。 (二)计算机病毒情况 1、上周计算机病毒威胁程度为(轻度、中度、严重),判断依据? 上周计算机病毒威胁程度为中度。 2、
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(9497→6381)下降了48% ,而感染的计算机台数(151730→102400)下降了48% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Downloader.DoubleAgent.a 暂无 →0  2.67% 2685
  2 Trojan.Generic.aritr 暂无 ↑3  2.39% 2402
  3 Trojan.Scar.ike 暂无 ↑3  1.69% 1696
  4 Trojan.Generic.ariyo 暂无  1.40% 1413
  5 Trojan.Generic.atgpu 暂无  1.40% 1413
  6 TrojanDropper.Injector.bkye 暂无 ↑1  1.40% 1413
  7 TrojanDownloader.JS.bbah 暂无 ↓5  1.26% 1272
  8 Backdoor/Bifrose.lkj 暂无 ↓5  1.26% 1272
  9 Backdoor/Bifrose.mgn 暂无  1.12% 1130
  10 Exploit.BypassUAC.cb 暂无 →0  1.12% 1130
  合计         15826
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
病毒名称: Backdoor/Win32.Pincav.kyn
病毒类型: 后门
文件 MD5: C3DDBBF331EF7299D2E0332F441065C0
公开范围: 完全公开
危害等级: 4
文件长度: 121,856 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
    该恶意代码文件为变种后门类木马,病毒运行后查找RT_RCDATA资源,找到后Load该加密资源(包括IP地址、端口、服务名称等)信息,创建病毒互斥量名为“$OK”,防止病毒多次运行产生的冲突,拷贝自身文件到%System32%目录下,添加注册表病毒服务,开启一个IEXPLORE.EXE进程将病毒代码注入到该进程中连接网络进行通信,被控制的计算机会被控制者完全控制,病毒运行完毕后删除自身原文件。
1、文件运行后会释放以下文件
%System32%\DBS.EXE
2、病毒运行后Load资源加密信息,包括病毒要衍生病毒名称、上线IP地址、端口、服务名等信息
BE2882DACEE16DC0BE648C96D8EB66925BC562349CE26E92BF64E8A8B3FD1BB6CA649C96A4910DB1DC7D
DE9C85A122AACD4BFE8F8DBC2A8BF3299DDAD1E26F
解密后:
10.0.23.1|888|暂无|10|0|DBS.EXE|0|DBS_Server|DBSRemote|110111
3、开启一个IEXPLORE.EXE进程将病毒代码注入到该进程中连接网络进行通信,还有一种方法是注入到userinit.exe进程中。
4、创建病毒服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\Description
值: 字符串: "DBSRemote"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\DisplayName
值: 字符串: "DBS_Server"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\ImagePath
值: 字符串: "C:\WINDOWS\SYSTEM32\DBS.EXE."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\Type
值: DWORD: 272 (0x110)
描述:添加注册表服务
协议:TCP
端口:888
IP地址:10.0.23.**
描述:连接到远程IP等待控制端发送控制指令
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir%             WINDODWS所在目录
         %DriveLetter%          逻辑驱动器根目录
         %ProgramFiles%          系统程序默认安装目录
         %HomeDrive%           当前启动的系统的所在分区
         %Documents and Settings%     当前用户文档根目录
         %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
         %System32%            系统的 System32文件夹
         Windows2000/NT中默认的安装路径是C:\Winnt\System32
         windows95/98/me中默认的安装路径是%WINDOWS%\System
         windowsXP中默认的安装路径是%system32%
推荐使用ATool管理工具,请点击下载(http://www.antiy.com/cn/download/atool.htm)。
(1)强行结束IEXPLORE.EXE进程。
(2)删除病毒文件
%System32%\DBS.EXE
(3)删除病毒添加的服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\Description
值: 字符串: "DBSRemote"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\DisplayName
值: 字符串: "DBS_Server"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\ImagePath
值: 字符串: "C:\WINDOWS\SYSTEM32\DBS.EXE."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DBS_Server\Type
值: DWORD: 272 (0x110)
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。