【51CTO.com 综合消息】本周总体病毒情况依然保持相对平稳的状态,未出现严重危害的病毒事件。在捕获病毒数量及种类上与前一周相比有所上升。病毒数量上升较多的是win32/gamepass家族的变体及一些病毒下载器程序。用户及时升级反病毒库即可处理。
本周关注的病毒家族:
病毒名称: Win32.Rimecud.AC
病毒别称:WORM_AUTORUN.DNR (Trend), W32/Autorun-AIC (Sophos), Proxy-Piky.dr (McAfee), W32.SillyFDC (Symantec), P2P-Worm.Win32.Palevo.ann (Kaspersky), Worm:Win32/Rimecud.B (MS OneCare)
病毒属性:蠕虫病毒
危害性:中
流行程度:中
病毒特性:
Win32/Rimecud.AC 是一种蠕虫病毒,能够通过可移动驱动器,MSN和P2P共享文件夹进行传播。
感染方式:
当病毒文件被执行后,Win32/Rimecud.AC生成以下文件:
C:\RECYCLER\{Random CLSID}\hdav.exe
随后病毒生成以下注册表键值,在每次系统启动时运行病毒文件:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\xxx
Taskman = "C:\RECYCLER\{Random CLSID}\hdav.exe"
传播方式:
通过可移动驱动器传播
Win32/Rimecud.AC 通过可移动驱动器(例如USB)进行传播。它还会在可移动驱动器上生成"Autorun.inf"和"usbv.exe"文件。
通过网络传播
Win32/MahsaP2P.A 复制New Folder.exe文件到它能找到的任意共享文件夹中。
通过P2P文件共享传播
Win32/Rimecud.AC 在以下P2P (点对点)软件的共享目录中生成任意名称的病毒副本。文件名来源于这些共享目录中现有的文件。Ares、BearShare、iMesh、Shareaza、Kazaa、DCPlusPlus、eMule、LimeWire
通过MSN传播
Win32/Rimecud.AC 还会通过MSN进行传播,它会给用户所有在线的联系人发送一个链接。当用户点击这个链接时,他们就会在不知情的情况下下载一个任意名称的病毒副本。
危害:
后门功能
作为一个后门服务器;
执行SYN Flooding攻击;
执行端口扫描。
本周常见较活跃病毒列表及变体数量:
病毒名称 |
特性 |
Win32/Loodok!generic |
木马下载器;部分变体属于广告类软件; 本周此家族样本共4种变体; |
JS/SillyDLScript |
木马下载器脚本病毒;属于很多木马程序的触发脚本;主要通过ie漏洞激活并传播。 |
Win32.LdPinch |
特洛伊病毒,能够从被感染机器上获取敏感信息并将它发送到远程站点。 |
Win32.SillyDL |
一种木马下载器,通过Internet Explorer浏览器或者其它的特洛伊下载器安装到用户系统。近期的Win32.SillyDl.GRX新变体具有反安全软件功能,有较大危害;流行时间较长的一种下载器,本周捕获4种变体; |
Win32/Gamepass!downloader |
网游盗号类木马家族;近期最常见的木马程序也是数量最多的家族,本周共捕获8种变体; |
Win32.KillAV |
Win32.KillAV.AM是一种特洛伊病毒,它尝试终止被感染机器上很多与安全相关的进程。本周常见样本总共6种变体; |
Win32.Lolyda |
网游盗号类木马 |
Win32.Zlob |
木马下载器程序;本周捕获2种变体; |
Win32.QQpass |
帐号盗窃木马程序,有键盘输入记录功能,病毒作为一个Browser Helper Object安装。 |
JS.CVE-2008-0015exploit |
Office插件脚本病毒; |
Win32.Virut |
感染.exe文件的win32类病毒程序 |
Win32/MS08-067!exploit |
Win32/MS08-067!exploit 是一类通过MS08-067漏洞进行传播的蠕虫,一般通过发送RPC请求到存在漏洞的系统。 |
Win32.Pigeon |
灰鸽子后门程序;本周捕获2种变体; |
其他近期新病毒的资料可参考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;