本周总体病毒状况继续保持前一周比较平静的势态,未发现严重危害的新型病毒,捕获病毒样本数量基本与前一周持平。
从上周收集病毒特征来看,数量最多最常见的仍然以的盗号木马类程序为主,近期木马下载器的数量相对有所下降。被病毒利用较多的系统漏洞为ms09-002、MS06-014、MS08-067。应用程序被利用较多的是adobe Flashplayer漏洞。
周二左右微软发布了8个安全补丁,其中有5个为“危急”级别。将涉及到IE7、Windows2000、WindowsXP、WindowsVista、Server2003和Server2008软件相关漏洞。在此提醒广大用户及时安装更新。
近期关注病毒:
蠕虫病毒Win32.SillyAutorun.Family
其它名称:Worm.Win32.AutoRun (Kaspersky), Worm:Win32/Autorun (MS OneCare), WORM_AUTORUN (Trend), W32/Autorun.worm (McAfee), W32.SillyDC (Symantec), Mal/SillyFDC (Sophos)
病毒属性:蠕虫病毒
危害性:中等危害
病毒特性:
Win32/Sillyautorun是一族通过可移动驱动器(U盘)和和物理磁盘进行传播的蠕虫病毒。此家族变体很多近期流行较广。
病毒执行后,它会将自身复制到%system%或者%Windows%目录中,并会生成注册表键值,在每次系统启动时运行病毒文件。
Win32/SillyAutorun变体通过列举可移动驱动器和物理磁盘,将蠕虫的运行程序复制到这些驱动器上进行传播。很多变种还会生成”autorun.inf”文件到可移动磁盘,并且设置该文件属性为隐藏和只读。这样,在下次访问该驱动器的时候,就可以自动运行蠕虫。这个INF文件检测为INF/sillyAutorun病毒。
很多Sillyautorun变体都会试图修改系统设置,通常都是以破坏系统的安全性为主。例如,win32/sillyAutorun.AKK将文件夹选项设置为不显示隐藏文件。 还有一些变种会修改相关键值以逃避Windows防火墙的拦截。
本周的一些常见病毒列表:
|
特洛伊病毒Win32.FakeAV家族 |
Win32/FakeAV.ABP是一种特洛伊病毒,能够伪装成合法的反病毒程序,并显示出不同的提示被感染的警告信息。它还会下载其它的恶意软件到被感染机器上。 |
|
JS/SillyDLScript.FO/GL |
SillyDL家族的变体,主要利用IE漏洞的脚本病毒,部分变体为ie7ms09-002漏洞相关;利用IE溢出后执行shellcode代码,通常下载其他有害程序。 |
|
VBS/SillyDLScritp.AQD |
木马下载器脚本病毒;属于很多木马程序的触发脚本;主要通过ie漏洞激活并传播。 |
|
Win32/Treemz!generic |
Win32/Treemz.BD是一种盗窃网络游戏敏感信息的特洛伊病毒。 |
|
Win32/Gamepass.SF!downloader |
网游盗号类木马家族。 |
|
Win32/Frethog!generic |
网游盗号类木马,传播途径主要是网站挂马或其他安装包携带。 |
|
Win32.Wowpa!generic |
一种记录按键的木马程序,它一般是被其它恶意软件安装。它尝试盗窃与Massively Multiplayer Online Role Playing Game (MMORPG) "World of Warcraft"游戏相关的用户名和密码。 |
|
win32/bosbot |
是一种下载的木马病毒,还会盗窃网络游戏账号和密码。感染病毒后,系统会明显变慢,局域网内会有大量arp攻击,严重阻塞网络通讯。特洛伊病毒会将IE主页修改为www.ku2009.com。修改注册表键值,使某些杀毒软件失效,并禁止访问某些与安全相关的网站。 |
|
Win32/Frethog.CIG|CIL |
网游盗号类木马,传播途径主要是网站挂马或其他安装包携带。 |
|
Win32/MS08-067!exploit |
这是一类通过MS08-067漏洞进行传播的蠕虫。病毒为了执行stacked-based buffer overflow黑客行为,会发送RPC请求到存在漏洞的系统。 |
冠群金辰安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;
网友评论