最新病毒库日期:
  • 一周安全播报(2.6-2.12)
2017-02-13 14:23 来源:未知
【文章摘要】上周互联网安全威胁程度为中度。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(5782→6531)上升了12% ,而感染的计算机台数(84854→140368)上升了65% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Backdoor/Bifrose.lkj 暂无  5.53% 7630
  2 Backdoor/Bifrose.mgn 暂无  3.89% 5369
  3 Trojan.Generic.arjar 暂无 ↓1  2.77% 3815
  4 Trojan.Generic.aritr 暂无 ↑1  2.05% 2826
  5 TrojanDropper.Injector.bkye 暂无 ↑1  1.84% 2543
  6 TrojanDownloader.JS.bbah 暂无 ↓5  1.74% 2402
  7 Trojan.AndroidOS.dutt 暂无 ↑1  1.64% 2261
  8 Trojan.Generic.aikna 暂无 ↑1  1.43% 1978
  9 Trojan.Scar.ike 暂无  1.43% 1978
  10 Downloader.Sogou.b 暂无 ↓6  1.43% 1978
  合计         32780
 
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:   
病毒名称: Trojan/Win32.OnLineGames.bhsj[Stealer]
病毒类型: 盗号木马
文件 MD5: FF15AA97CBC8AC53D0679EB5D7B685FE
公开范围: 完全公开
危害等级: 3
文件长度: 30,208 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX
病毒描述
      该恶意代码文件为多款网络游戏盗号木马,它可以针对不同的游戏使用不同的手段进行窃取游戏的账号密码,该病毒会创建修改系统的imm32.dll文件,用于加载病毒衍生的DLL文件,这样做的目的是不需要添加注册表启动项,从而可以躲避部分安全软件对其主动防御拦截,病毒会在%Windir%目录下创建一个sysdf17.log该文件记录游戏账号信息,病毒窃取到游戏账号密码后以POST方式回传到作者指定的地址中。
行为分析-本地行为
  1、文件运行后会释放以下文件:
%System32%\ole.dll
EXE外壳分析:病毒运行后对进程进行提权操作,遍历进程茶渣AYServiceNT.aye进程,如果找到该进程后则调用OpenThread获得该进程线程句柄,然后调用SuspendThread挂机该进程的线程,查找类名和标题为"AHNTASK_SESSION"的窗口,找到之后试图停掉wscsvc服务(这个服务是系统的安全中心),查找并加载名为81类型为IDR_DLL的资源,获取%System32%目录下的ole.dll文件属性,如文件不存在则创建,否则将文件重命名一份在创建新的,释放批处理删除自身文件。
1、调用"taskkill /F /IM NVCAgent.npc"命令强行结束NVCAgent.npc进程,并试图尝试打开并停止Nsavsvc服务。
2、将%System32%目录下的imm32.dll命名为imm32.dll.log,动态加载sfc_os.dll并调用#5号函数解除对imm32.dll的保护,然后把imm32.dll文件拷贝到临时目录下对其进行修改,遍历文件的节表判断是否存在.racpv节,添加的恶意代码的作用是负责加载病毒创建的ole.dll文件。
ole.dll病毒DLL文件分析:
1、判断自身是否被注入到:mupdate2.exe、autoup.exe、v3lsvc.exe、ayupdate.aye如果是被注入到这些进程中病毒则会退出。
2、判断自身如果被注入到v3ltray.exe进程中,则会在该进程偏移0x1C00处查找并匹配8B55F48B82B400003800BDFFB67517E1305A96A81800508090909090特征码,匹配成功后将该节的属性修改为可读可写,并将该特征码的首2个字节修改为9090。
3、判断自身如果被注入到pmclient.exe进程中则会HOOK NTDLL.DLL中的RtlAllocateHeap函数调用,使其调用RtlAllocateHeap函数跳到病毒代码区执行恶意代码,并遍历该进程中的Baduki.dll模块句柄,匹配改模块中偏移0x40B00处的C744243C07000000特征码,匹配成功后退出。
4、判断自身如果被注入到aion.bin进程中则会遍历查找game.dll模块,获取该模块基址匹配模块偏移0x35DF00处的8BC88A8684030000特征码,匹配成功后修改模块内存地址数据。
5、还会判断自身是否被注入到:ff2client.exe、client.exe、dragonnest.exe进程中同样会遍历各个游戏的模块修改HOOK游戏进程数据,解密回传参数地址等信息。
行为分析-网络行为
  病毒获取游戏账号密码后以POST方式根据不同的游戏以下参数回传到病毒作者地址中:
u=%s+p=%s+p2=%s+s=%s+a=%s+r=%s+g=%d+m=%d+mb=%s+ver=%s_%d
u=%s+p=%s+s=ms_ie+mb=%s+ver=%s_%d
u=%s+p=%s+a=hangame+ver=%s_%d
u=%s+p=%s+a=pmang+m=%s+p2=%s+ver=%s_%d
u=%s+p=%s+a=netm+ver=%s_%d
a=han_lin+u=%s+p=%s+s=%s+ver=%s_%d
a=%s+u=%s+p=%s+s=%s+r=%s+g=%d+ver=%s_%d
u=%s+p=%s+p2=%s+ver=%s_%d
u=%s+p=%s+p2=%s+s=%s+ver=%s_%d
u=%s+p=%s+ver=%s_%d
u=%s+p=%s+p2=%s+ver=%s_%d
u=%s+p=%s+a=pmang+s=fifa+r=%s+ver=%s_%d
u=%s+p=%s+a=aion+r=%s+ver=%s_%d
u=%s+kp=%s+ver=%s_%d
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。