最新病毒库日期:
  • 一周安全播报(10.24-10.30)
2016-10-31 09:31 来源:未知
【文章摘要】上周流行病毒种类跟之前一周相比(9033→7984)下降了13 % ,而感染的计算机台数(141807→128719)下降了10 % 。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(9033→7984)下降了13 % ,而感染的计算机台数(141807→128719)下降了10 % 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Trojan.Generic.aikna 暂无 →0  3.58% 4522
  2 AdWare/Gaba.pf 暂无 →0  2.46% 3109
  3 Trojan.Script.ykh 暂无 →0  1.68% 2111
  4 TrojanDropper.Agent.cfqt 暂无 ↑1  1.56% 1978
  5 Trojan.Generic.akggy 暂无  1.45% 1837
  6 Adware/Cinmus.Gen “赛门斯”变种  1.01% 1272
  7 WebToolbar.Generic.xg 暂无  1.01% 1272
  8 TrojanDropper.Injector.bkgq 暂无  0.89% 1130
  9 TrojanDownloader.Adload.tov 暂无 ↓3  0.89% 1130
  10 Porn-Tool.MSIL.j 暂无  0.89% 1130
  合计         19491
 
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析: 
病毒名称 TrojanDownloader.O97M.Donoff
病毒类型: 木马
MD5F67BD38786D09F19038882A26251BFA7
文件长度: 168962字节 
传播途径: 网页挂马
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等
病毒介绍:
给病毒启动后会检测自身是否处于调试状态下;在系统目录和用户临时目录下大量释放文件;以控制台加参数的形式启动释放的PE文件;修改注册表,创建启动项;创建互斥体;创建事件对象;获取管理员权限;隐藏制定的窗口;加载执行释放的PE文件;

文件系统变化:
创建文件:
C:\Users\Administrator\AppData\Local\Temp\~DF77BB0C133505A98E.TMP
C:\Users\Administrator\AppData\Roaming\Microsoft\Templates\~$Normal.dot
C:\Users\Administrator\AppData\Local\Temp\~DFABF15E1AFF26564E.TMP
C:\Users\Administrator\AppData\Local\%temp%\****.doc
C:\Users\Administrator\AppData\Local\Temp\~WRF0000.tmp
C:\Users\Administrator\AppData\Local\Temp\~DF92229852D49E6F94.TMP
C:\Users\Administrator\AppData\Local\Temp\VBE\MSForms.exd
C:\Users\Administrator\AppData\Roaming\Microsoft\Forms\WINWORD.box
C:\Users\Administrator\AppData\Local\Temp\~DF2F3AB6CA7A4BBAA7.TMP
C:\Users\Administrator\AppData\Local\Temp\~DF820DBBF3E8F5DCC9.TMP
C:\Users\Administrator\AppData\Local\Temp\~DFE4E894882973475B.TMP
C:\Users\Administrator\AppData\Local\Temp\mb866.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\%temp%\****.LNK
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\EB93A6.LNK
C:\Windows\System32\WinHost32.exe
复制文件:
C:\PROGRA~2\MICROS~1\OFFICE\DATA\OPA11.BAK到 C:\PROGRA~2\MICROS~1\OFFICE\DATA\opa11.dat
修改文件:
C:\Users\Administrator\AppData\Roaming\Microsoft\Templates\~$Normal.dot
C:\Users\Administrator\AppData\Roaming\Microsoft\Templates\~$Normal.dot
C:\Users\Administrator\AppData\Local\%temp%\****.doc
C:\Users\Administrator\AppData\Local\%temp%\****.doc
C:\Users\Administrator\AppData\Local\Temp\VBE\MSForms.exd
C:\Users\Administrator\AppData\Local\Temp\VBE\MSForms.exd
C:\Users\Administrator\AppData\Local\Temp\VBE\MSForms.exd
C:\Users\Administrator\AppData\Local\Temp\VBE\MSForms.exd
C:\Users\Administrator\AppData\Local\Temp\VBE\MSForms.exd
C:\Users\Administrator\AppData\Local\Temp\mb866.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\%temp%\****.LNK
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\index.dat
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\EB93A6.LNK
C:\Windows\System32\WinHost32.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\VB11.pip
 
删除文件:
C:\Users\Administrator\AppData\Local\Temp\~DF77BB0C133505A98E.TMP
C:\Users\Administrator\AppData\Local\Temp\~DFABF15E1AFF26564E.TMP
C:\Users\Administrator\AppData\Local\Temp\~DF92229852D49E6F94.TMP
C:\Users\Administrator\AppData\Roaming\Microsoft\Forms\WINWORD.box
C:\Users\Administrator\AppData\Local\Temp\~DF820DBBF3E8F5DCC9.TMP
C:\Users\Administrator\AppData\Local\Temp\mb866.exe
C:\Users\Administrator\AppData\Local\Temp\~DFE4E894882973475B.TMP
C:\Users\Administrator\AppData\Local\Temp\~DF2F3AB6CA7A4BBAA7.TMP
C:\Users\Administrator\AppData\Local\%temp%\****.doc
C:\Users\Administrator\AppData\Roaming\Microsoft\Templates\~$Normal.dot
C:\Users\Administrator\AppData\Local\Temp\~WRF0000.tmp
 
注册表变化:
创建启动项:
HEKY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinHost32
修改注册表:
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency\StartupItems\yb
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\MTTT
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency\StartupItems\c
HEKY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\WORDFiles
HEKY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\ProductFiles
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency\StartupItems\ge
HEKY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\VBAFiles
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Common\ReviewCycle\ReviewToken
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency\DocumentRecovery\26652\26652
HEKY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\WordEngWizDotFiles2
HEKY_LOCAL_MACHINE \SOFTWARE\Classes\TypeLib\{2A80F1DA-6DED-4E39-A80B-5BE1E925F90D}\2.0\
HEKY_LOCAL_MACHINE \SOFTWARE\Classes\TypeLib\{2A80F1DA-6DED-4E39-A80B-5BE1E925F90D}\2.0\FLAGS\
HEKY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2A80F1DA-6DED-4E39-A80B-5BE1E925F90D}\2.0\0\win32\
HEKY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2A80F1DA-6DED-4E39-A80B-5BE1E925F90D}\2.0\HELPDIR\
HEKY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BEF6E003-A874-101A-8BBA-00AA00300CAB}\
删除键值:
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency\StartupItems\c
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency\StartupItems\ge
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency\StartupItems\yb
HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures\User_Feed_Synchronization-{DD45CED3-68D4-4258-9DB0-B2D0B36690C9}.job
HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures\User_Feed_Synchronization-{DD45CED3-68D4-4258-9DB0-B2D0B36690C9}.job.fp
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency\DocumentRecovery\26652\26652
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\Common\Assistant\CurrAsstState
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\MTTT
HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AccountDomainSid
 
删除键:
HKEY_CURRENT_CONFIG\Software\Microsoft\Office\11.0\Word\Resiliency\StartupItems
HKEY_CURRENT_CONFIG\Software\Microsoft\Office\11.0\Word\Resiliency\DocumentRecovery\26652
HKEY_CURRENT_CONFIG\Software\Microsoft\Office\11.0\Word\Resiliency\DocumentRecovery
HKEY_CURRENT_CONFIG \Software\Microsoft\Office\11.0\Word\Resiliency
 
主要行为:
已隐藏窗口的方式创建进程:
C:\Windows\system32\cmd.exe, CmdLine = /c del C:\Users\ADMINI~1\AppData\Local\Temp\mb866.exe >> NULL
创建进程:
C:\Users\ADMINI~1\AppData\Local\Temp\mb866.exe,CmdLine="C:\Users\ADMINI~1\AppData\Local\Temp\mb866.exe"
C:\Users\ADMINI~1\AppData\Local\Temp\mb866.exe, CmdLine = C:\Users\ADMINI~1\AppData\Local\Temp\mb866.exe
C:\Windows\System32\WinHost32.exe, CmdLine = C:\Windows\System32\WinHost32.exe
跨进程写入代码数据:
C:\Users\ADMINI~1\AppData\Local\Temp\mb866.exe
创建互斥体:
Local\Mutex_MSOSharedMem
Local\Mso97SharedDg19211105606Mutex
Local\Mso97SharedDg20321105606Mutex
Global\MTX_MSO_Formal1_S-*
Global\MTX_MSO_AdHoc1_S-*
Local\Mso97SharedDg19521105606Mutex
Skd5yLHImeSCMutextCfgPersist_H_S-*
Local\Mso97SharedDg19531105606Mutex
Local\Mso97SharedDg19541105606Mutex
Local\Mso97SharedDg19551105606Mutex
OfficeAssistantStateMutex
DBWinMutex
KYIMEShareCachedData.MutexObject.Administrator
KYTransactionServer.MutexObject.Administrator
Local\SqmSysTray
创建事件对象:
EventName = OleDfRootFED4E9463EFB04FE
EventName = OleDfRootFAB0D47B603FD58E
EventName = OleDfRoot251B9C00A553D02
EventName = OleDfRoot17C5DDA3018E385D
EventName = OleDfRoot7E641D56C179A1A5
打开事件:
Local\MSCTF.CtfActivated.Default1
Local\MSCTF.AsmCacheReady.Default1
\KernelObjects\MaximumCommitCondition
Global\TermSrvReadyEvent
MSFT.VSA.COM.DISABLE.2560
MSFT.VSA.IEC.STATUS.6c736db0
HookSwitchHookEnabledEvent
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
Global\SvcctrlStartEvent_A3752DX
打开互斥体:
Local\Mutex_MSOSharedMem
Local\Mso97SharedDg19211105606Mutex
Local\Mso97SharedDg20321105606Mutex
Local\MU_ACBPIDS08
Local\MSCTF.Asm.MutexDefault1
Global\MTX_MSO_Formal1_S-*
Global\MTX_MSO_AdHoc1_S-*
Local\Mso97SharedDg19521105606Mutex
Local\Mso97SharedDg19531105606Mutex
Local\Mso97SharedDg19541105606Mutex
Local\Mso97SharedDg19551105606Mutex
OfficeAssistantStateMutex
Local\SqmSysTray


样本危害:
1.拷贝自身到其他目录提高存活率
2.创建互斥体防止自身多次启动
3.设置开机启动使自身不易清除
4.隐藏主要窗口进程
手工清理方法:
1. 结束病毒运行进程
2. 还原/删除 设置的注册表键
3. 删除释放的文件                                                                                                                                               
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。