最新病毒库日期:
  • 一周安全播报(10.31-11.6)
2016-11-07 09:26 来源:未知
【文章摘要】上周互联网安全威胁程度为中度。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(8104→9183)上升了 0.13% ,而感染的计算机台数(133177→148422)上升了 0.11% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Trojan.Generic.aikna 暂无 →0 3.10% 4522
  2 Adware.Agent.wdo 暂无 2.81% 4098
  3 AdWare/Gaba.pf 暂无 ↓1 2.42% 3533
  4 TrojanDropper.Agent.cfqt 暂无 ↓1 2.33% 3391
  5 TrojanDownloader.Adload.tpd 暂无 1.07% 1554
  6 Trojan/Generic.pai 暂无 →0 0.97% 1413
  7 Trojan.Generic.akggy 暂无 ↓3 0.97% 1413
  8 Trojan.Generic.akvzz 暂无 0.87% 1272
  9 WebToolbar.Generic.xg 暂无 ↑1 0.87% 1272
  10 Trojan/Generic.rnn 暂无 ↓3 0.78% 1130
  合计         23598
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析: 
病毒名称: Trojan/Win32.Sasfis.vbw
病毒类型: 木马
文件 MD5: EEC53E2239800E5D85B6B85D5E2451CB
公开范围: 完全公开
危害等级: 4
文件长度: 18,944 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
    病毒运行后释放随机病毒名文件*.tmp到临时目录下,动态加载E.tmp病毒文件,调用该文件的hfburt模块,该模块代码进行了密码处理,该模块被调用后开启一个svchost.exe进程,拷贝E.tmp到%System32%目录下命名为wdni.buo,并将wdni.buo添加的被开启的svchost.exe中,修改注册表使用rundll32.exe为开机启动衍生的rundll32.dll病毒,病毒运行完后删除自身文件。
1、文件运行后会释放以下文件
%System32%\wdni.buo
%Documents and Settings%\a\Local Settings\Temp\*.tmp (随机病毒名)
%System32%\rundll32.dll
2、调用该文件的hfburt模块,该模块代码进行了密码处理,该模块被调用后开启一个svchost.exe进程。
3、修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
新: 字符串: "Explorer.exe rundll32.exe wdni.buo nrufk"
旧: 字符串: "Explorer.exe"
描述:修改注册表使用rundll32.exe来启动病毒文件
GET /limpopo/bb.php?id=463775276&v=200&tm=6&b=4316315581 HTTP/1.1
User-Agent: Opera\9.64
Host: 193.104.27.**
描述:病毒运行后向以上IP提交并请求数据
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir%             WINDODWS所在目录
%DriveLetter%          逻辑驱动器根目录
%ProgramFiles%          系统程序默认安装目录
%HomeDrive%           当前启动的系统的所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%             \Documents and Settings\当前用户\Local Settings\Temp
%System32%           系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
(1)查找svchost.exe进程中的病毒模块名“wdni.buo”,找到该病毒模块强行结束。
(2)恢复被修改的注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
新: 字符串: "Explorer.exe rundll32.exe wdni.buo nrufk"
旧: 字符串: "Explorer.exe"                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。