最新病毒库日期:
  • 一周安全播报(12.12-12.18)
2016-12-19 10:28 来源:未知
【文章摘要】(一)总体情况分析 上周互联网安全威胁程度为中度。 (二)计算机病毒情况 1、上周计算机病毒威胁程度为(轻度、中度、严重),判断依据? 上周计算机病毒威胁程度为中度。 2、
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(6337→11370)上升了79% ,而感染的计算机台数(129869→181645)上升了40% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Exploit.BypassUAC.bn 暂无 →0  2.38% 4239
  2 Trojan.Generic.aikna 暂无 ↑3  2.14% 3815
  3 TrojanDropper.Agent.cfqt 暂无 ↑1  2.06% 3674
  4 Exploit.Fuaca.r 暂无 ↓1  1.90% 3391
  5 Exploit.BypassUAC.bp 暂无 ↓3  1.74% 3109
  6 Downloader.CloudBundle.a 暂无  1.74% 3109
  7 Trojan.Generic.amjqq 暂无 ↓1  1.74% 3109
  8 AdWare.Funshion.a 暂无  1.66% 2967
  9 Downloader.Sogou.b 暂无 ↓2  1.58% 2826
  10 Exploit.BypassUAC.bz 暂无  1.03% 1837
  合计         32076
 
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:                                           
病毒名称 Worm.Win32.FakeFolder.a
病毒类型: 蠕虫
MD5E3D1717A60250DEDAD8BB6DA42117072
文件长度:  248025 字节
壳信息: upx
传播途径: U盘
影响系统: Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8等
 
病毒介绍:
     病毒采用rar压缩的方式,压缩主病毒并伪装成正常程序的快捷方式文件。如:数据库管理工具Navicat Premium快捷方式。主病毒文件为My Document文件夹为伪装病毒,图标系统文件夹图标,引诱用户点击。病毒设置启动项,感染硬盘。在201104-201105月份之间爆发释放垃圾文件占领硬盘。
文件系统变化:
     生成病毒文件: c:\1到c:\200
     C:\Program Files\Internet Explorer\WINLOGON.exe
     C:\My Document\My Document.exe
C:\Program Files\system.caca
注册表变化:
HKEY_CLASSES_ROOT\cacafile\shell\open\command"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run"
网络症状:
主要行为:
创建垃圾文件,导致磁盘被占满。
设置注册表启动项
样本危害:
    病毒利用系统图标隐藏自己的病毒实质。释放的垃圾文件为系统隐藏文件,容易不让用户发现。
手工清理方法:杀软清理
相关服务器信息分析:
应对措施及建议:
建立良好的安全习惯,不打开可疑邮件和可疑网站。
不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
安装专业的防毒软件升级到最新版本,并开启实时监控功能。
为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
详细其他分析记录:
释放文件MD5:68CFF4E621153683CCB514BE5EBCD59E
MD5:D41D8CD98F00B204E9800998ECF8427E
MD5: 3566DE3A97906EDB98D004D6B947AE9B
MD5: D41D8CD98F00B204E9800998ECF8427E
 
 
PE文件信息
 
脱壳后文件
 
 
判断运行时间
 
 
 
循环创建文件400个200M大小的文件,也就是说在每一个本地磁盘中多出8GB垃圾文件,最大遍历磁盘数量为9个
 
 
创建的垃圾文件,设置属性系统文件隐藏
0012F8EC   0012F910  |FileName = "c:\1"
0012F8F0   10000000  |Access = GENERIC_ALL
0012F8F4   00000000  |ShareMode = 0
0012F8F8   00000000  |pSecurity = NULL
0012F8FC   00000001  |Mode = CREATE_NEW
0012F900   00000006  |Attributes = HIDDEN|SYSTEM
0012F904   00000000  \hTemplateFile = NULL
 
 
 
静默0x36ee80ms强制关机重启
 
 
判断是否存在病毒文件
 
 
创建设置注册表键值
 
 
 
 
创建注册表键值
|hKey = HKEY_CLASSES_ROOT
|Subkey = "cacafile\shell\open\command"
|Reserved = 0x0
|Class = NULL
|Options = REG_OPTION_NON_VOLATILE
|Access = 2000000
|pSecurity = NULL
 
 
 
创建注册表键值
|hKey = HKEY_LOCAL_MACHINE
|Subkey = "software\Microsoft\Windows\CurrentVersion\Run"
|Reserved = 0x0
|Class = NULL
|Options = REG_OPTION_NON_VOLATILE
|Access = 2000000
|pSecurity = NULL
|pHandle = 0012FA44
 
 
复制文件
|ExistingFileName = "C:\Documents and Settings\Administrator\桌面\WINLOGON.exe"
|NewFileName = "C:\Program Files\Internet Explorer\WINLOGON.exe"
 
创建文件|FileName = "C:\Program Files\system.caca"
 
当检测到移动磁盘,拷贝病毒体到移动磁盘
 
利用explore打开c:\My Document
 
 
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。