冠群金辰：10月份计算机病毒疫情分析

以下是2008年10月份冠群金辰计算机病毒疫情分析月报：

一、 病毒信息统计

根据冠群金辰公司国内以及全球病毒监测分析结果，2008年10月份病毒统计信息如下：

1. 病毒类型统计
本月病毒主要类型有：木马、蠕虫、病毒、间谍软件等。
其中，木马所占比例为60%。

2. 传播方式统计
本月病毒传播方式变化不大，主要有：网络共享、电子邮件、漏洞攻击、Web浏览和下载、移动U盘、即时软件等。

3. 病毒危害统计
本月病毒的主要危害有：自动下载恶意软件、窃取用户信息、篡改系统信息、强制阻止防病毒类软件的安全防护、盗号游戏帐户等。

二、 病毒疫情及发展趋势分析

图1

根据统计日志，本月病毒情况基本保持奥运前后比较平稳的状况，但与上月相比稍有所增加。月末几天的新病毒数量增加较快，总体上并未出现影响较大的病毒事件。

新增的种类上仍然以木马及蠕虫类为主。月末批量下载类病毒增加较多，而且出现强制绑定其它广告软件、播放器等恶意软件的现象。

从传播途径上看，种类最多的仍然是通过网站浏览感染的木马病毒，本月增加最多的是网游盗号类木马程序。这类挂马病毒主要来自于不良信息网站（主要为xxx、广告推广类网站），当用户使用有安全漏洞的浏览器访问这类网页时，病毒一般利用jsp脚本下载木马程序并利用VBS或bat脚本进行激活，以便对系统安装木马程序或者开放后门。

以下是本月数量较多的几种病毒：

>>Htm脚本类：
JS/MS06-014!exploit ?〉利用比较老的系统漏洞
INF/Bosbot.p -> 属于U盘病毒类
VBS/Gamepass.LR -> 盗号游戏的脚本部分

>>木马类：
Win32.Gamepassgeneric  (网游盗号类)
Win32.GameStealergeneric  (网游盗号类)
Win32.Midigam.DP （下载类木马及其变体）
Win32.Gamepass.JF
Win32.Farfligeneric
Win32/Lolyda 木马家族及其变体
Win32/Lolyda!Generic
Win32/Dowque!generic 盗窃敏感信息
Win32/SillyDL.FSF
Win32.SillyD木马病毒

随着月末微软重要安全漏洞MS08-067及其补丁的发布，出现了针对此漏洞的病毒：

特洛伊病毒Win32.Gimmiv.A 危害性：中等危害

该特洛伊通过微软MS08-067漏洞下载传播，一旦感染会盗取用户系统上的敏感信息。

病毒特性：
Win32/Gimmiv.A 是一种特洛伊病毒，能够从被感染机器上盗窃敏感信息。特洛伊包含2个部分，一个是大小为397,312字节的dropper，另一个是大小为336,384字节的DLL，其中DLL执行主要危害。

感染方式：
Win32/Gimmiv.A特洛伊通过微软MS08-067漏洞下载到系统中，您可以到以下站点下载微软MS08-067漏洞补丁：
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx

Win32/Gimmiv.A生成一个DLL文件%System%\wbem\sysmgr.dll，随后修改注册表键值，以便在系统启动时运行病毒：
HKLM\SYSTEM\CurrentControlSet\Services\sysmgr
HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters\ServiceDll = "%System%\wbem\sysmgr.dll"
HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters\ServiceMain = "ServiceMainFunc"

危害：
盗窃敏感信息
Win32/Gimmiv.A从被感染机器上盗窃敏感信息，例如：
Windows 版本、用户名和机器名、系统上安装的程序、
软件的用户名和密码，例如Internet Explorer, Outlook Express 和 MSN Messenger。

另外，此病毒还会通过注册表查找是否安全其他反病毒程序，并将收集信息发送到特定IP地址。

Win32.SillyD木马病毒 破坏性：中 普及度：中

此病毒是一种下载类的特洛伊病毒。Win32/SillyDl变体一般可通过如下方式感染用户计算机：用户访问恶意网页时，通过Internet Explorer浏览器安装、通过其它的特洛伊下载器安装 或者通过其他软件包携带安装。很多变体会在C盘的根目录生成以若干数字为名称的隐含目录，其中也是数字命名的隐含文件，例如：

图2

Win32/SillyDl的新变体可下载其它的特洛伊病毒，或者其他恶意软件例如广告软件。同时，它会尝试下载更新。这种病毒通常利用HTTP下载。

Win32/Gamepass!generic
一种针对网游的账号盗取木马，大多可能是通过生成器制作，文件数量较多。一般通过其他木马批量下载进行传播。

Win32/GameStealer!generic
这是另外一种近期常见的针对网游（“梦幻西游”、“军阀”、“超时空要塞”等）的木马。近期的变体通常会在系统%system32%目录生成多个2M左右的dll文件，用于注入到游戏进程进行账号窃取。

图3

Win32/SillyDL.FSF
这个病毒及其他的变体一般是用户访问恶意网页时，利用Internet Explorer浏览器的漏洞进行安装，或者通过其它的特洛伊下载器及其它软件安装包一起安装。另外，它的某些变体还会下载其它的特洛伊病毒，或者广告软件。
下图是此病毒的最新变体，使用qq程序的图标以吸引用户执行。

图4

其他近期新病毒的资料可参考：
http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建议：

1、对于个人PC，重要的系统补丁应及时安装；对于企业用户，应加强补丁管理意识，尤其对服务器等重要系统应尽早安装；
2、不访问有害信息网站，不随意下载/安装可疑插件，并检查IE的安全级别是否被修改；
3、使用KILL时注意及时升级到最新的病毒库版本，并保持时时监视程序处于开启状态；
4、不要随意执行未知的程序文件；
5、合理的配置系统的资源管理器（比如显示隐含文件、显示文件扩展名），以便能够更快地发现异常现象，防止被病毒程序利用；

三、 更多信息
有关病毒信息、间谍软件信息、漏洞公告信息，请访问：
http://www.kill.com.cn/product/yujing/index.asp

标签： 安全 电子邮件 服务器 脚本 漏洞 企业 推广 网络 网站 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。