【51CTO.com 综合消息】总体病毒状况依然保持前一周比较平静的势态,未发现严重危害的新型病毒。从本周收集病毒种类来看,数量较多的几种盗号家族在变体数量上有较大减少,以往变体较多的几个盗号木马/下载器家族,在本周捕获的变体数量减少很多。但本周的邮件类病毒有增加趋势,新出现了几种带有群发邮件功能的蠕虫。
本周关注的新病毒:
病毒名称:Win32.Mytob.PA
其它名称:TrojanDropper:Win32/VB.AV (MS OneCare)
病毒属性:蠕虫病毒
危害性:中等危害
流行程度:中
病毒特性:
Win32/Mytob.PA是一种通过电子邮件传播的蠕虫病毒,并且同时可通过u盘进行传播。它还禁用一些安全软件,并下载其它的恶意程序,是一种复合型病毒。
感染方式:
当病毒文件被执行后,Mytob.PA会复制到以下位置:
|
在系统注册表启动项中添加,以便系统启动时被执行,并且在系统服务中加入名称为“DHCP System Application”的服务。
传播方式:
通过邮件传播
Win32/Mytob.PA通过邮件进行传播,病毒附加在邮件的附件中,并使用自带的SMTP引擎进行发送。病毒通过Windows Address Book (WAB)收集目标邮件地址,并在带有以下扩展名的文件中搜索邮件地址:
|
蠕虫发送的电子邮件有以下特点。
寄件人地址随机生成,其中可能是以下任意一个:
|
域名可能是以下任意一个:
|
例如,发件人的地址可能显示为Tusti@msn.com 。
邮件正文包括以下内容:
|
病毒发送的垃圾邮件的附件使用以下图标,诱骗用户相信该附件是一个压缩文件。
通过驱动器传播
Win32/Mytob.PA搜索所有可利用的移动驱动器和固定驱动器,生成"Autorun.inf"文件,以确保下一次访问驱动器的时候自动运行病毒文件。
危害
使安全软件失效
Win32/Mytob.PA 使被感染机器上与安全相关的软件失效,从而降低被感染机器的安全性,并对多种安全软件进行“镜像劫持”。
可能是以下任意一些:
|
修改Hosts文件
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。
Mytob.PA修改hosts文件,将以下一些URL改变为localhost,有效的阻止用户访问这些站点:
|
盗窃敏感信息
该蠕虫病毒试图窃取网络游戏魔兽世界(WOW)的有关信息。它在%Program Files%\World of Warcraft\Data\enGB\ 中搜索WOW的配置文件“realmlist.wtf”。然后使用Activer服务器http://kexp.org/emailforms/email_action.asp发送内容。
本周常见较活跃病毒列表及变体数量:
 |
| 表1 |
其他近期新病毒的资料可参考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;
