【51CTO.com 综合消息】本周总体病毒情况依然保持相对平稳的状态,未出现严重危害的病毒事件。在病毒数量及种类上与前一周相比略有下降。
本周关注的病毒家族:
病毒名称: Win32.MahsaP2P.A
病毒别称:TROJ_VB.DWI (Trend), Trojan.Win32.VB.aol (Kaspersky), W32.Redlofwen (Symantec), W32/SillyFDC-I (Sophos)
病毒属性:蠕虫病毒
危害性:中
流行程度:中
病毒特性:
Win32/MahsaP2P.A 是一种通过Kazaa(与电驴类似的一种p2p共享软件)网络点对点文件共享进行传播的蠕虫病毒。它是一个VB编译的Win32可运行文件,大小是106496字节。
病毒文件的图标显示为一个文件夹图标,误导用户打开病毒文件。
感染方式:
当病毒文件执行时,它使用Windows资源管理器打开%My documents%文件夹。
随后病毒使用以下文件名复制到下列目录中:
New Folder.exe 和Top Pictures.exe 文件复制到%My documents% 文件夹中;
New Folder.exe 文件复制到 %My Music% 和 %My Pictures% 文件夹中;
Windows Explorer.exe 文件复制到 %Windows% 文件夹中。
 |
| 图1 |
病毒还会复制 “New Folder.exe” 文件到它找到的其它的文件夹中。
Win32/MahsaP2P.A 设置以下注册表键值,以确保在每次系统启动时运行病毒文件:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer = “%Windows%\Windows Explorer.exe” |
传播方式:
通过P2P文件共享传播
为了通过KazaA P2P网络进行传播,蠕虫在C:\Program Files\kazaa\My Shared Folder目录中生成病毒副本。
通过网络传播
Win32/MahsaP2P.A 复制New Folder.exe文件到它能找到的任意共享文件夹中。
危害:
修改注册表
病毒修改以下注册表键值,为了在系统启动时运行病毒文件:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer |
为了在Windows资源管理器的标题中显示完整路径,蠕虫修改以下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ CabinetState\FullPath ValueData = 0x1 |
为了在Windows资源管理器中隐藏文件扩展名,蠕虫修改以下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt ValueData = 0x1 |
本周常见较活跃病毒列表及变体数量:
 |
| 表1 |
其他近期新病毒的资料可参考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;
