最新病毒库日期:
  • 一周安全播报(11.7-11.13)
2016-11-12 15:43 来源:未知
【文章摘要】上周互联网安全威胁程度为中度。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(9183→9812)上升了 0.07 % ,而感染的计算机台数(148422→159640)上升了 0.08% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Trojan.Generic.aikna 暂无 →0 3.15% 4946
  2 TrojanDropper.Agent.cfqt 暂无 ↑2 2.34% 3674
  3 Adware.Agent.wdo 暂无 ↓1 2.16% 3391
  4 TrojanDownloader.Adload.tpd 暂无 ↑1 2.07% 3250
  5 AdWare/Gaba.pf 暂无 ↓2 1.71% 2658
  6 Downloader.Donex.p 暂无 1.35% 2120
  7 Trojan/Generic.pai 暂无 ↓1 1.35% 2120
  8 Trojan.Generic.akvzz 暂无 →0 0.99% 1554
  9 Trojan.Banker.Metel.aew 暂无 0.99% 1554
  10 Trojan.Generic.akggy 暂无 ↓3 0.72% 1130
  合计         26397
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析: 
病毒名称: Trojan/Win32.Ekafod.q[Dropper]
病毒类型: 木马
文件 MD5: 480CC0A80FA372158EEAFA37D3479A60
公开范围: 完全公开
危害等级: 4
文件长度: 74,240 字节
感染系统: Windows98以上版本
加壳类型: UPX
开发工具: Microsoft Visual C++ 6.0
病毒描述
病毒运行后获取系统时间来作为衍生的随机病毒文件名,添加病毒注册表启动项,遍历进程查找"ravmond.exe"进程,衍生多个病毒DLL文件到%System32%目录下,检测%System32%\dllcache目录下是否存在该DLL文件如不存在则衍生相同文件到该目录下,检测D盘下是否存在ssshall目录,如不存在则创建,并将创建的目录属性设置为隐藏,调用regsvr32 /s注册病毒衍生的DLL组件,调用rundll32.exe隐藏安装病毒DLL文件,衍生病毒EXE文件到System32%目录下并命名为Dofake.exe,将D盘下所有文件夹设置为隐藏,并将所有文件夹文字记录下来,将除系统盘外所有磁盘的根目录下所有文件夹属性设置为隐藏,再创建以文件夹为名的.exe文件,使用户不被发现,当用户双击打开文件夹时先执行病毒文件之后病毒文件调用EXPLORER.EXE资源管理器方式再打开真正的文件夹,被感染的机器连接网络在后台隐藏打开多个恶意连接。
行为分析-本地行为
1、文件运行后会释放以下文件
%System32%\dllcache\hyhb9.dll
(该DLL文件循环写入注册表,发现用户修改立即写入!连接网络
http://www.superqqface.com/lin/lin.aspcpname=A-738DF22C9CA04&hardid=01000000000000000000&netid=00:0C:29:8C:9D:B6&user=full78&sname=C2&ver=1.0.1&val=1670发送安装统计信息,该网页已无法打开)
%System32%\hyhb9.dll
(该DLL文件循环写入注册表,发现用户修改立即写入!连接网络发送安装统计信息)
%System32%\hyhbd.dll
(遍历磁盘找到病毒DLL文件,如发现被删除则
连接网络http://www.renren1****.com/plug/HtmlPeek.dll从新下载DLL文件)
%System32%\tata_1.dll
(判断自身代码进程是否是"explorer.exe",如不是就退出,查找IE浏览器窗口,连接假冒淘宝网站http://pindao.huoban.taobao.com/channel/onSale.htm,该网页看似是淘宝首页,很多热卖商品是作者作者自己修改排名的产品,以提高用户点击率达到热卖目的)
2、添加注册表服务
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy\PlugName\LogonMainName
值: 字符串: "hyhb9.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy\PlugName\LogonName
值: 字符串: "hyhb9.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy\CSID\dllname
值: 字符串: "hyhbd.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy\CSID\dllpath
值: 字符串: "D:\ssshall"
3、遍历进程查找"ravmond.exe"进程,检测D盘下是否存在ssshall目录,如不存在则创建,并将创建的目录属性设置为隐藏,调用"regsvr32 /s %System32%\hyhb9.dll"注册病毒衍生的DLL组件,调用"rundll32 hyhb9.dll , InstallMyDll"隐藏安装病毒DLL文件,衍生病毒EXE文件到System32%目录下命名为Dofake.exe,将D盘下所有文件夹设置为隐藏,并将所有文件夹文字记录下来,修改出系统盘外所有磁盘的跟目录下所有文件夹为隐藏属性,再将创建以文件夹为名的.exe文件。
行为分析-网络行为
协议:TCP
端口:80
描述:病毒运行后会开启多个线程后台连接多个恶意网址
http://www.fydown***.com/2.htm
http://www.hao1***.com/2.htm
http://www.so***.com/2.htm
http://www.fy***.com/2.htmhyhb9.dll
http://pindao.hu***.taobao.com/channel/onSale.htm
http://www.renren1***.com/plug/HtmlPeek.dll
连接网络
http://www.superqq***.com/lin/lin.aspcpname=A-738DF22C9CA04&hardid=01000000000000000000&netid=00:0C:29:8C:9D:B6&user=full78&sname=C2&ver=1.0.1&val=1670发送安装统计信息。                                                                                                                                                                                                                                                                            
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。