最新病毒库日期:
  • 一周安全播报(11.14-11.20)
2016-11-21 17:35 来源:未知
【文章摘要】上周互联网安全威胁程度为中度。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(9812→7280)下降了 34% ,而感染的计算机台数(159640→119802)下降了 33% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Trojan.Generic.aikna 暂无 →0  4.08% 4804
  2 TrojanDropper.Agent.cfqt 暂无 →0  2.40% 2826
  3 AdWare/Gaba.pf 暂无 ↑2  1.80% 2120
  4 Exploit.BypassUAC.bn 暂无  1.56% 1837
  5 TrojanDownloader.Adload.tpd 暂无 ↓1  1.44% 1696
  6 Trojan/Generic.pai 暂无 ↑1  1.08% 1272
  7 AdWare.Amonetize.afav 暂无  1.08% 1272
  8 Packed.PePatch.mkt 暂无  1.08% 1272
  9 Trojan.Banker.Metel.aew 暂无 →0  0.96% 1130
  10 WebToolbar.Generic.xg 暂无  0.96% 1130
  合计         19359
 
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析: 
病毒名称: Backdoor/Win32.Turkojan.ccn
病毒类型: 后门
文件 MD5: BABBBE9A8F01F201077726B9A95F4359
公开范围: 完全公开
危害等级: 4
文件长度: 112,128 字节
感染系统: Windows98以上版本
开发工具: UPX
    该恶意代码文件为远程控制后门类木马,该后门使用了UPX压缩工具对数据进行了压缩处理,病毒运行后创建互斥量"ASPLOG",对进程进行提权操作,Load资源获取连接上线信息,该后门支持VISTA系统环境下运行,获取系统版本根据不同的系统版本来处理后续操作,衍生2个DLL文件到病毒源文件所在目录下,创建自身进程连接指定的IP等待控制者发送控制指令。
1、文件运行后会释放以下文件
%病毒原文件所在目录\ntdtcstp.dll
%病毒原文件所在目录\ntdtcstp.dll
2、修改注册表、添加注册表启动项、创建病毒服务
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.dll\0
值: 字符串: "n.t.d.t.c.s.t.p...d.l.l...X.2...........ntdtcstp.dll.lnk..8....."
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.dll\1
值: 字符串: "c.m.s.e.t.a.c...d.l.l...T.2...........cmsetac.dll.lnk.6........."
旧: DWORD: 32 (0x20)
描述:修改注册表BITS服务
3、对进程进行提权操作,Load资源获取连接上线信息,该后门支持VISTA系统环境下运行,获取系统版本根据不同的系统版本来处理后续操作。
协议:TCP
端口:15963
域名及IP地址:10.0.51.**
描述:连接到远程IP等待控制端发送控制指令
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir%             WINDODWS所在目录
%DriveLetter%          逻辑驱动器根目录
%ProgramFiles%          系统程序默认安装目录
%HomeDrive%           当前启动的系统的所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%             \Documents and Settings\当前用户\Local Settings\Temp
%System32%           系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
(1)结束病毒自身进程。
(2)删除以下病毒衍生的文件
%病毒原文件所在目录\ntdtcstp.dll
%病毒原文件所在目录\ntdtcstp.dll
(3)恢复被修改的注册表、删除病毒添加的服务
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.dll\0
值: 字符串: "n.t.d.t.c.s.t.p...d.l.l...X.2...........ntdtcstp.dll.lnk..8....."
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.dll\1
值: 字符串: "c.m.s.e.t.a.c...d.l.l...T.2...........cmsetac.dll.lnk.6........."                
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。