【51CTO.com 综合消息】总体病毒状况依然保持前一周比较平静的势态,未发现严重危害的新型病毒。从本周收集病毒种类来看,数量较多的几种盗号家族在变体数量上有较大减少,以往变体较多的几个盗号木马/下载器家族,在本周捕获的变体数量减少很多。但本周的邮件类病毒有增加趋势,新出现了几种带有群发邮件功能的蠕虫。
本周关注的新病毒:
病毒名称:Win32.Mytob.PA
其它名称:TrojanDropper:Win32/VB.AV (MS OneCare)
病毒属性:蠕虫病毒
危害性:中等危害
流行程度:中
病毒特性:
Win32/Mytob.PA是一种通过电子邮件传播的蠕虫病毒,并且同时可通过u盘进行传播。它还禁用一些安全软件,并下载其它的恶意程序,是一种复合型病毒。
感染方式:
当病毒文件被执行后,Mytob.PA会复制到以下位置:
%Program Files%\Common Files\Microsoft Shared\MSInfo\msinfo16h.exe %Program Files%\Internet Explorer\JSPdebuggercom.dll %Windows%\ctfmon.exe %Windows%\inetinfo.exe %Windows%\winlogon.exe %Windows%\inf\realplayer.exe %System%\TIMPlatform.exe |
在系统注册表启动项中添加,以便系统启动时被执行,并且在系统服务中加入名称为“DHCP System Application”的服务。
传播方式:
通过邮件传播
Win32/Mytob.PA通过邮件进行传播,病毒附加在邮件的附件中,并使用自带的SMTP引擎进行发送。病毒通过Windows Address Book (WAB)收集目标邮件地址,并在带有以下扩展名的文件中搜索邮件地址:
.asp、.cgi、.htm、.html、.jsp、.shtml、.txt、.xml |
蠕虫发送的电子邮件有以下特点。
寄件人地址随机生成,其中可能是以下任意一个:
Ayiana Sruti Subhadra Subhaga Subhangi … Yogita Zankhana Zarna |
域名可能是以下任意一个:
aol.com、freemail.com、gmail.com、hotmail.com、mail.com、msn.com |
例如,发件人的地址可能显示为Tusti@msn.com 。
邮件正文包括以下内容:
Dear : fakedegrees is now the only site that provides you with an On-line Certificate Creator. With our exclusive tools and the partnership with one of the best online degree and diploma merchants we can provide our members with the largest range of novelty university degrees, college diplomas and high school certificates that you can preview online. Open attachment to view contact method and Certificate of photos. Thanks:) |
病毒发送的垃圾邮件的附件使用以下图标,诱骗用户相信该附件是一个压缩文件。
通过驱动器传播
Win32/Mytob.PA搜索所有可利用的移动驱动器和固定驱动器,生成"Autorun.inf"文件,以确保下一次访问驱动器的时候自动运行病毒文件。
危害
使安全软件失效
Win32/Mytob.PA 使被感染机器上与安全相关的软件失效,从而降低被感染机器的安全性,并对多种安全软件进行“镜像劫持”。
可能是以下任意一些:
adam.exe AgentSvr.exe AppSvc32.exe AST.exe autoruns.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe IceSword.exe iparmo.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32.exe KPFW32X.exe … UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.EXE.exe WoptiClean.exe zxsweep.exe |
修改Hosts文件
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。
Mytob.PA修改hosts文件,将以下一些URL改变为localhost,有效的阻止用户访问这些站点:
127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 liveupdate.symantec.com … 127.0.0.1 bbs.duba.net 127.0.0.1 www.luosoft.com 127.0.0.1 an.baidu.com 127.0.0.1 www.rising.com.cn 127.0.0.1 tools.ikaka.com |
盗窃敏感信息
该蠕虫病毒试图窃取网络游戏魔兽世界(WOW)的有关信息。它在%Program Files%\World of Warcraft\Data\enGB\ 中搜索WOW的配置文件“realmlist.wtf”。然后使用Activer服务器http://kexp.org/emailforms/email_action.asp发送内容。
本周常见较活跃病毒列表及变体数量:
 |
| 表1 |
其他近期新病毒的资料可参考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;
