最新病毒库日期:
  • 一周安全播报(1.9-1.15)
2017-01-16 11:04 来源:未知
【文章摘要】2017年1月9-1月15日病毒情况播报。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(5603→7835)上升了39% ,而感染的计算机台数(104126→138499)上升了33% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 AdWare.Funshion.c 暂无 →0  1.66% 2261
  2 Exploit.Fuaca.t 暂无 →0  1.66% 2261
  3 Exploit.Fuaca.v 暂无  1.66% 2261
  4 TrojanDownloader.JS.bbah 暂无 ↑4  1.66% 2261
  5 Exploit.Fuaca.r 暂无 ↓1  1.56% 2120
  6 Downloader.Sogou.b 暂无 ↑4  1.56% 2120
  7 AdWare.Funshion.a 暂无 ↓2  1.56% 2120
  8 Trojan.Banker.Metel.aew 暂无 ↓1  1.56% 2120
  9 Trojan.Generic.aikna 暂无 ↓6  1.45% 1978
  10 Exploit.BypassUAC.cb 暂无  1.14% 1554
  合计         21056
 
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:   
病毒名称 Trojan.Generic.aokxy
病毒类型: 木马
MD5:      43ec3d79b8a579be1f7f0a1fefef447f
文件长度: 547840字节
传播途径: 网页挂马
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等
病毒介绍:
该病毒启动后,创建进程;添加开机自启动项;在其他进程中申请内存;拷贝自身到其他目录;检测是否存在指定注册表键。
文件系统变化:
行为描述:查找文件
FileName = C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscoreei.dll
FileName = C:\Windows\Microsoft.NET\Framework\Upgrades.2.0.50727\mscoreei.dll
FileName = C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
FileName = C:\Windows
FileName = C:\Windows\WinSxS
FileName=C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\MSVCR80.dll
FileName=C:\Windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.INI
FileName = C:\Users
FileName = C:\Users\Administrator\AppData
FileName = C:\Users\Administrator\AppData\Local
FileName = C:\Users\Administrator\AppData\Local\Temp
FileName = C:\Users\Administrator\AppData\Local\%temp%
FileName = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe
FileName = C:\Users\Administrator
FileName = C:\Users\Administrator\AppData\Local\%temp%\b70c.INI
注册表变化:
行为描述:删除注册表键值
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
行为描述:修改注册表_启动项
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\OMEWPRODUCT_CNVCI
主要行为:
行为描述:创建进程
ImagePath = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, CmdLine = "C:\Users\Administrator\AppData\Local\%temp%\b70c.exe" 1 true
行为描述:跨进程写入数据
TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00050000, Size = 0x00000020
TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00050020, Size = 0x00000034
TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x7ffdf238, Size = 0x00000004
行为描述:创建互斥体
Global\.net clr networking
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
行为描述:创建事件对象
EventName = Global\CorDBIPCSetupSyncEvent_152
EventName = Global\CorDBIPCSetupSyncEvent_712
行为描述:打开互斥体
Global\CLR_CASOFF_MUTEX
Global\.net clr networking
行为描述:获取TickCount值
TickCount = 766223, SleepMilliseconds = 20.
TickCount = 766285, SleepMilliseconds = 20.
TickCount = 766754, SleepMilliseconds = 20.
TickCount = 766754, SleepMilliseconds = 60000.
TickCount = 826734, SleepMilliseconds = 60000.
行为描述:打开事件
Global\CLR_PerfMon_StartEnumEvent
HookSwitchHookEnabledEvent
\KernelObjects\LowMemoryCondition
\KernelObjects\MaximumCommitCondition
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
MSFT.VSA.COM.DISABLE.152
MSFT.VSA.IEC.STATUS.6c736db0
MSFT.VSA.COM.DISABLE.712
行为描述:调用Sleep函数
[1]: MilliSeconds = -1.
[2]: MilliSeconds = 20.
[3]: MilliSeconds = 20.
[4]: MilliSeconds = 20.
[5]: MilliSeconds = 20.
[6]: MilliSeconds = 20.
[4]: MilliSeconds = 60000.
手工清理方法:
1. 结束病毒的运行进程。
2. 删除病毒释放的文件。
3. 恢复病毒修改和创建的注册表文件。
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。