冠群金辰6月第2周报告:多种游戏木马盗取信息

安全
本周总体病毒状况依然保持前一周比较平静的势态,未发现严重危害的新型病毒。从本周收集病毒特征来看,数量较多的几种盗号家族变体数量有所减少。

【51CTO.com 综合消息】总体病毒状况依然保持前一周比较平静的势态,未发现严重危害的新型病毒。从本周收集病毒特征来看,数量较多的几种盗号家族变体数量有所减少。数量最多最常见的仍然是近期的几个家族:Win32/GamePass家族(14种变体),Win32.Ttfon(16种变体),Win32.Wowpa(14种变体)主要以挂马形式传播,针对当前多种流行游戏,盗取信息。

本周二,微软发布了今年规模最大的一次补丁更新。从MS09-018至MS09-027共10多个安全补充程序,修正31个安全漏洞。其中最严重的的安全补充程序是MS09-019,修补了IE中的8个漏洞,涉及到全部IE版本:IE5、IE6、IE7及最新的IE8。在此提醒请广大用户注意及时查漏、补漏!

本周关注的新病毒:

病毒名称:Win32.FakeAlert.MX 

其它名称:Clbd LB (CA Anti-Spyware), TrojanDropper:Win32/Alureon.J (MS OneCare), Rootkit.Win32.Clbd.lb (Kaspersky), Backdoor.Tidserv (Symantec)

病毒属性:特洛伊木马 

危害性:中等危害 

流行程度:中

病毒特性:

Win32/FakeAlert.MX 是近期流行较广的FakeAlert家族的新变体。它属于一种下载类木马病毒,能够阻止某些安全网站,并将用户的搜索查询指向恶意网站。

感染方式:

病毒文件被执行后,Win32/FakeAlert.MX 生成以下注册表键值:

HKLM\software\tdss\injector\* = "TDSSl.dll"

然后将此DLL注入到以下系统进程中:

services.exe
winlogon.exe
lsass.exe
svchost.exe

如果DLL已经注入到"svchost.exe"中,FakeAlert就会查找命令行参数是否存在"avp.exe" 和 "avgexfs.exe" 字符串。

危害:

下载并运行任意文件

Win32/FakeAlert.MX 连接以下域,用来上报给它的控制者,还会下载其它的特洛伊病毒。

78.157.142.26/windowsupdate/
backupservice1.net
compalusa.com
compalusax.com
domainpub.info
domainspubs.com
updatemics.com
updatemics1.com

阻止网站

Win32/FakeAlert.MX 监控Internet,阻止访问以下域,其中很多与安全相关:

247fixes.com
abuse.com
abuse.net
acens.net
agnitum.com
ahbl.org
andymanchesta.com
antiphishing.org
antispywareoffensief.nl
arcabit.com
armor2net.com
atribune.org
atwola.com
auditmypc.com
aumha.org
avast
avg.com
avira.com
avp.ch
avp.com
avp.ru
bdbrandprotect.com
besttechie.net
beyondlogic.org
bfccomputers.com
bitdefender
bl.csma.biz
bleepingcomputer.com
bluemedicine.be
… 包含大量安全网站URL,此处省略。
zonealarm.com
zonelabs
zonelabs.com

 

监视搜索引擎,改变搜索结果:

特洛伊监控以下网站的访问:

go.aol.com
go.google.com
go.live.com
go.msn.com
go.yahoo.com
go1.aol.com
go1.google.com
go1.live.com
go1.msn.com
go1.yahoo.com
go2.aol.com
go2.google.com
go2.live.com
go2.msn.com
go2.yahoo.com
go3.aol.com
go3.google.com
go3.live.com
go3.msn.com
go3.yahoo.com

将它们的搜索结果改为其他恶意网址。

其他近期新病毒的资料可参考:

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建议:

1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;

2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;

3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;

4、不要随意执行未知的程序文件;

5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2009-04-15 11:00:05

2009-06-30 11:27:32

病毒木马冠群金辰

2009-04-28 11:11:15

木马病毒冠群金辰

2009-05-19 09:00:04

家族变体病毒冠群金辰

2009-09-15 16:56:36

2009-03-03 09:37:05

2009-06-23 09:49:47

2009-05-07 15:50:44

2009-06-01 16:55:43

2009-07-14 13:55:06

2009-09-08 21:26:17

2009-05-12 09:03:17

2009-03-25 11:28:10

2009-07-27 19:29:58

2009-02-24 10:20:29

2009-04-25 08:33:52

2009-06-23 13:21:16

2009-02-11 11:25:21

2009-07-06 14:00:23

2009-06-29 10:44:54

点赞
收藏

51CTO技术栈公众号