最新病毒库日期:
  • 一周安全播报(12.19-12.25)
2016-12-26 10:25 来源:未知
【文章摘要】上周互联网安全威胁程度为中度。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(11370→8344)下降了36% ,而感染的计算机台数(181645→177474)下降了2% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Downloader.CloudBundle.a 暂无 ↑5  3.89% 6782
  2 Exploit.BypassUAC.bn 暂无 ↓1  2.51% 4380
  3 Exploit.Fuaca.r 暂无 ↑1  2.43% 4239
  4 Exploit.Fuaca.s 暂无  2.27% 3954
  5 Exploit.BypassUAC.ca 暂无  2.27% 3954
  6 AdWare.Funshion.a 暂无 ↑2  2.03% 3533
  7 Trojan.Generic.aikna 暂无 ↓5  2.03% 3533
  8 Exploit.BypassUAC.cb 暂无  1.94% 3391
  9 Exploit.BypassUAC.bz 暂无 ↑1  1.94% 3391
  10 Downloader.Sogou.b 暂无 ↓1  1.70% 2967
  合计         40124
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:   
病毒名称 Trojan.Reconyc.bmu
病毒类型: 木马
MD5    D6D73461BADACD9E0A135B7AD2A4B739
文件长度: 35328 字节
传播途径: 网页挂马、下载器下载等
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等
病毒介绍:
该病毒启动后提升自身权限,创建互斥体,遍历进程,搜索指定的进程名,获取TickCount值,获取窗口截图信息,释放PE文件并加载执行,查找和隐藏指定窗口,修改注册表,创建服务,连着指定网络IP并发送数据。执行完成后进行自删除。
文件系统变化:
行为描述:创建文件
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1s.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.reg
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sregctr.dll
行为描述:创建可执行文件
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1s.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.dll
行为描述:覆盖已有文件
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sregctr.dll
行为描述:查找文件
FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\rundll32.exe
FileName = C:\WINDOWS\regedit.exe
行为描述:删除文件
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1s.dll
行为描述:修改文件内容
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1s.dll ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.reg ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.reg ---> Offset = 38
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.reg ---> Offset = 100
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.reg ---> Offset = 124
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.reg ---> Offset = 186
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.dll ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.dll ---> Offset = 28672
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sreg.dll ---> Offset = 35051
C:\Documents and Settings\Administrator\Local Settings\Temp\wispt1sregctr.dll ---> Offset = 0
行为描述:自删除
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
注册表变化:
行为描述:修改注册表
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Messenger\Parameters\ServiceDll
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Messenger\Parameters\ServiceDll
\REGISTRY\MACHINE\SYSTEM\ControlSet003\Services\Messenger\Parameters\ServiceDll
行为描述:修改注册表_服务项
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Messenger\Start
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Messenger\Start
\REGISTRY\MACHINE\SYSTEM\ControlSet003\Services\Messenger\Start
网络症状:
网络操作:
[Connect HOST]10.16.185.233:54323
[Open URL]10.16.185.233
主要行为:
行为描述:创建进程
ImagePath = C:\WINDOWS\system32\rundll32.exe, CmdLine = "C:\WINDOWS\system32\rundll32.exe" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t1meoutreg.dll",ServiceMain
ImagePath = C:\WINDOWS\regedit.exe, CmdLine = "C:\WINDOWS\regedit.exe" -s "C:\DOCUME~1\ADMINI~1\LOCALS~
行为描述:搜索可疑进程名
strstr: <------> 360safe.exe Des: 360安全卫士
strstr: \systemroot\system32\smss.exe <------> 360safe.exe Des: 360安全卫士
strstr: \??\c:\windows\system32\csrss.exe <------> 360safe.exe Des: 360安全卫士
strstr: \??\c:\windows\system32\winlogon.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\system32\services.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\system32\lsass.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\system32\svchost.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\system32\spoolsv.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\system32\alg.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\explorer.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\system32\ctfmon.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\program files\tencent\qq\bin\qq.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\program files\tencent\qq\bin\txplatform.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\system32\conime.exe <------> 360safe.exe Des: 360安全卫士
strstr: c:\windows\system32\personalbankportal.exe <------> 360safe.exe Des: 360安全卫士
行为描述:加载新释放的文件
Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t1meout.dll.
Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t1meoutreg.dll
行为描述:隐藏指定窗口
[Window,Class] = [,AfxFrameOrView42]
行为描述:查找指定窗口
NtUserFindWindowEx: [Class,Window] = [MS_WINHELP,]
NtUserFindWindowEx: [Class,Window] = [RegEdit_RegEdit,]
行为描述:调整进程token权限
SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
行为描述:打开事件
HookSwitchHookEnabledEvent
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
_fCanRegisterWithShellService
行为描述:获取窗口截图信息
Foreground window Info: HWND = 0x00000000, DC = 0x5c0105f4.
Foreground window Info: HWND = 0x00000000, DC = 0x19010567.
行为描述:打开互斥体
ShimCacheMutex
Local\!IETld!Mutex
行为描述:创建服务
%system%\svchost.exe -k wispt1s
行为描述:启动指定服务
%system%\svchost.exe -k wispt1s [%system%\wispt1s.dll]
行为描述:释放执行后删除
%system%\\wispt1s.dll
%ProgramFiles%\\sample.exe
%temp%\\wispt1s.dll
样本危害:
对指定的软件进行劫持,发送网络信息。                                      
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。