冠群金辰:10月份计算机病毒疫情分析
2018-06-11 来源:
以下是2008年10月份冠群金辰计算机病毒疫情分析月报:
一、 病毒信息统计
根据冠群金辰公司国内以及全球病毒监测分析结果,2008年10月份病毒统计信息如下:
1. 病毒类型统计
本月病毒主要类型有:木马、蠕虫、病毒、间谍软件等。
其中,木马所占比例为60%。
2. 传播方式统计
本月病毒传播方式变化不大,主要有:网络共享、电子邮件、漏洞攻击、Web浏览和下载、移动U盘、即时软件等。
3. 病毒危害统计
本月病毒的主要危害有:自动下载恶意软件、窃取用户信息、篡改系统信息、强制阻止防病毒类软件的安全防护、盗号游戏帐户等。
二、 病毒疫情及发展趋势分析
图1 |
根据统计日志,本月病毒情况基本保持奥运前后比较平稳的状况,但与上月相比稍有所增加。月末几天的新病毒数量增加较快,总体上并未出现影响较大的病毒事件。
新增的种类上仍然以木马及蠕虫类为主。月末批量下载类病毒增加较多,而且出现强制绑定其它广告软件、播放器等恶意软件的现象。
从传播途径上看,种类最多的仍然是通过网站浏览感染的木马病毒,本月增加最多的是网游盗号类木马程序。这类挂马病毒主要来自于不良信息网站(主要为xxx、广告推广类网站),当用户使用有安全漏洞的浏览器访问这类网页时,病毒一般利用jsp脚本下载木马程序并利用VBS或bat脚本进行激活,以便对系统安装木马程序或者开放后门。
以下是本月数量较多的几种病毒:
>>Htm脚本类:
JS/MS06-014!exploit ?〉利用比较老的系统漏洞
INF/Bosbot.p -> 属于U盘病毒类
VBS/Gamepass.LR -> 盗号游戏的脚本部分
>>木马类:
Win32.Gamepassgeneric (网游盗号类)
Win32.GameStealergeneric (网游盗号类)
Win32.Midigam.DP (下载类木马及其变体)
Win32.Gamepass.JF
Win32.Farfligeneric
Win32/Lolyda 木马家族及其变体
Win32/Lolyda!Generic
Win32/Dowque!generic 盗窃敏感信息
Win32/SillyDL.FSF
Win32.SillyD木马病毒
随着月末微软重要安全漏洞MS08-067及其补丁的发布,出现了针对此漏洞的病毒:
特洛伊病毒Win32.Gimmiv.A 危害性:中等危害
该特洛伊通过微软MS08-067漏洞下载传播,一旦感染会盗取用户系统上的敏感信息。
病毒特性:
Win32/Gimmiv.A 是一种特洛伊病毒,能够从被感染机器上盗窃敏感信息。特洛伊包含2个部分,一个是大小为397,312字节的dropper,另一个是大小为336,384字节的DLL,其中DLL执行主要危害。
感染方式:
Win32/Gimmiv.A特洛伊通过微软MS08-067漏洞下载到系统中,您可以到以下站点下载微软MS08-067漏洞补丁:
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
Win32/Gimmiv.A生成一个DLL文件%System%\wbem\sysmgr.dll,随后修改注册表键值,以便在系统启动时运行病毒:
HKLM\SYSTEM\CurrentControlSet\Services\sysmgr
HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters\ServiceDll = "%System%\wbem\sysmgr.dll"
HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters\ServiceMain = "ServiceMainFunc"
危害:
盗窃敏感信息
Win32/Gimmiv.A从被感染机器上盗窃敏感信息,例如:
Windows 版本、用户名和机器名、系统上安装的程序、
软件的用户名和密码,例如Internet Explorer, Outlook Express 和 MSN Messenger。
另外,此病毒还会通过注册表查找是否安全其他反病毒程序,并将收集信息发送到特定IP地址。
Win32.SillyD木马病毒 破坏性:中 普及度:中
此病毒是一种下载类的特洛伊病毒。Win32/SillyDl变体一般可通过如下方式感染用户计算机:用户访问恶意网页时,通过Internet Explorer浏览器安装、通过其它的特洛伊下载器安装 或者通过其他软件包携带安装。很多变体会在C盘的根目录生成以若干数字为名称的隐含目录,其中也是数字命名的隐含文件,例如:
图2 |
Win32/SillyDl的新变体可下载其它的特洛伊病毒,或者其他恶意软件例如广告软件。同时,它会尝试下载更新。这种病毒通常利用HTTP下载。
Win32/Gamepass!generic
一种针对网游的账号盗取木马,大多可能是通过生成器制作,文件数量较多。一般通过其他木马批量下载进行传播。
Win32/GameStealer!generic
这是另外一种近期常见的针对网游(“梦幻西游”、“军阀”、“超时空要塞”等)的木马。近期的变体通常会在系统%system32%目录生成多个2M左右的dll文件,用于注入到游戏进程进行账号窃取。
图3 |
Win32/SillyDL.FSF
这个病毒及其他的变体一般是用户访问恶意网页时,利用Internet Explorer浏览器的漏洞进行安装,或者通过其它的特洛伊下载器及其它软件安装包一起安装。另外,它的某些变体还会下载其它的特洛伊病毒,或者广告软件。
下图是此病毒的最新变体,使用qq程序的图标以吸引用户执行。
图4 |
其他近期新病毒的资料可参考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;
三、 更多信息
有关病毒信息、间谍软件信息、漏洞公告信息,请访问:
http://www.kill.com.cn/product/yujing/index.asp
标签: 安全 电子邮件 服务器 脚本 漏洞 企业 推广 网络 网站 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。