(2009.06.14-2009.06.20)
据冠群金辰全球反病毒检测网络报告,本周的总体病毒状况依然保持前一周比较平静的势态,未发现具有严重危害的新型病毒。从本周收集病毒种类来看,数量较多的几种盗号家族在变体数量上有较大减少,以往变体较多的几个盗号木马/下载器家族,在本周捕获的变体数量减少很多。但本周的邮件类病毒有增加趋势,新出现了几种带有群发邮件功能的蠕虫。
本周关注病毒
病毒名称:Win32.Mytob.PA(其他名称:TrojanDropper:Win32/VB.AV (MS OneCare))
病毒属性:蠕虫病毒
危害性:中等危害
病毒特性:Win32/Mytob.PA是一种通过电子邮件传播的蠕虫病毒,并且同时可通过U盘进行传播。它还禁用一些安全软件,并下载其它的恶意程序,是一种复合型病毒。
该病毒的感染方式:当病毒文件被执行后,它会进行复制,在系统注册表启动项中添加,以便系统启动时被执行,并且在系统服务中加入名称为“DHCP System Application”的服务。
该病毒主要传播方式:
1、通过电子邮件传播。
Win32/Mytob.PA通过邮件进行传播,病毒附加在邮件的附件中,并使用自带的SMTP引擎进行发送。病毒通过Windows Address Book (WAB)收集目标邮件地址,并在带有以下扩展名的文件中搜索邮件地址:.asp、.cgi、.htm、.html、.jsp、.shtml、.txt、.xml。
该蠕虫发送的电子邮件有以下特点:寄件人地址随机生成,其中可能是以下任意一个:Ayiana、Sruti、Subhadra、Subhaga、Subhangi、Yogita、Zankhana、Zarna……
其域名可能是以下任意一个:aol.com、freemail.com、gmail.com、hotmail.com、mail.com、msn.com。
例如,发件人的地址可能显示为Tusti@msn.com 。
病毒发送的邮件正文包括以下内容:
Dear :
fakedegrees is now the only site that provides you with an On-line Certificate Creator. With our exclusive tools and the partnership with one of the best online degree and diploma merchants we can provide our members with the largest range of novelty university degrees, college diplomas and high school certificates that you can preview online.
Open attachment to view contact method and Certificate of photos.
Thanks:)
该病毒发送的垃圾邮件的附件使用以下图标,主要目的是诱骗用户相信该附件是一个压缩文件。
2、通过驱动器传播。
蠕虫Win32/Mytob.PA将自动搜索所有可利用的移动驱动器和固定驱动器,生成"Autorun.inf"文件,以确保下一次访问驱动器的时候自动运行病毒文件。
该病毒的主要危害如下:
1、使安全软件失效。
Win32/Mytob.PA能使被感染机器上与安全相关的软件失效,从而降低被感染机器的安全性,并对多种安全软件进行“镜像劫持”。
2、修改Hosts文件。
Hosts文件包含IP地址和主机名的映射,Windows在查询DNS之前需要查找Hosts文件。在Windows XP、2000、NT系统中Hosts 文件位于%System%driversetchosts;在Windows 9x系统中,Hosts文件位于%Windows%hosts。Mytob.PA修改hosts文件,将以下一些URL改变为localhost,有效的阻止用户访问这些站点:127.0.0.1 avp.com、127.0.0.1 ca.com、127.0.0.1 customer.symantec.com……
3、盗窃敏感信息。
该蠕虫病毒试图窃取网络游戏魔兽世界(WOW)的有关信息。它在%Program Files%World of WarcraftDataenGB 中搜索WOW的配置文件“realmlist.wtf”。然后使用Activer服务器http://kexp.org/emailforms/email_action.asp发送内容。
本周的一些常见病毒列表:
病毒名称 |
特性 |
Win32/Loodok!generic |
木马下载器;部分变体属于广告类软件; 本周此家族样本共4种变体; |
Win32.Zlob |
木马下载器程序;本周发现2种变体; |
Win32.Tnega |
木马下载器程序;本周样本共发现2种变体; |
JS/SnapView!exploit |
利用微软Access数据库Activex控件漏洞的脚本程序,通常出现在一些恶意网站上。 |
Win32.KillAV |
终止被感染系统安全软件的木马程序,通常随挂马程序或者下载器木马一同安装到系统中;本周此家族共收集2种变体; |
Win32.SillyDL |
一种木马下载器,通过Internet Explorer浏览器或者其它的特洛伊下载器安装到用户系统。近期的Win32.SillyDl.GRX新变体具有反安全软件功能,有较大危害;流行时间较长的一种下载器,本周捕获2种变体; |
Win32/Treemz!generic |
Win32/Treemz.BD是一种盗窃网络游戏敏感信息的特洛伊病毒。 |
Win32/Gamepass!downloader |
网游盗号类木马家族;近期最常见的木马程序也是数量最多的家族,本周共捕获12种变体; |
Win32/Frethog!generic |
网游盗号类木马,传播途径主要是网站挂马或其他安装包携带。 |
特洛伊病毒Win32.Wowpa!generic |
一种记录按键的木马程序,它一般是被其它恶意软件安装。它尝试盗窃与Massively Multiplayer Online Role Playing Game (MMORPG) "World of Warcraft"游戏相关的用户名和密码。 此家族木马,本周常见样本总共7种变体; |
Win32.Vundo |
带有后门功能的广告类恶意程序;本周发现1种变体; |
Win32.Zlob |
木马下载器程序;本周捕获2种变体; |
Win32.Ttfon家族 |
网游盗号类木马家族;此家族变体近期比较活跃,本周常见的有3种变体; |
JS.MS09-002 exploit |
利用ms09-002 ie漏洞的脚本病毒。 |
Win32.Ttfon |
游戏盗号类木马程序,通常随同其他下载器或者网站挂马方式传播;本周发现2种变体; |
安全防范建议
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用。
网友评论