最新病毒库日期:
  • 一周安全播报(2.13-2.19)
2017-02-20 14:25 来源:未知
【文章摘要】(一)总体情况分析 上周互联网安全威胁程度为中度。 (二)计算机病毒情况 1、上周计算机病毒威胁程度为(轻度、中度、严重),判断依据? 上周计算机病毒威胁程度为中度。 2、
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(6531→8029)上升了22% ,而感染的计算机台数(140368→159065)上升了13% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Backdoor/Bifrose.lkj 暂无 →0  5.06% 7913
  2 Backdoor/Bifrose.mgn 暂无 →0  3.53% 5511
  3 Trojan.Generic.aritr 暂无 ↑1  2.26% 3533
  4 TrojanDownloader.JS.bbah 暂无 ↑2  2.26% 3533
  5 Trojan.AndroidOS.dutt 暂无 ↑2  1.18% 1837
  6 Exploit.BypassUAC.cb 暂无  1.08% 1696
  7 TrojanDropper.Injector.bkye 暂无 ↓2  1.08% 1696
  8 Trojan.Generic.arjms 暂无  0.99% 1554
  9 AdWare.Funshion.a 暂无  0.90% 1413
  10 AdWare.Funshion.c 暂无  0.90% 1413
  合计         30099
 
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:   
病毒名称: Trojan/Win32.Agent.aody[Clicker]
病毒类型: 木马
文件 MD5: B3C42330465458DE61C0476BE29CF6CE
公开范围: 完全公开
危害等级: 4
文件长度: 121,344 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0 
病毒描述
      该恶意代码为木马类,病毒运行后,动态加载大量系统库文件,动态获取大量API函数,创建一个iexplore.exe进程,将地址00400000处病毒代码写入到该进程中,连接读取网页信息下载病毒文件。
    下载的病毒文件运行后复制自身并衍生DLL文件到%System32%目录下,添加注册表启动项,后台隐藏连接大量网站地址,从而达到点击网站从中获利的目的,病毒运行完毕后使用BAT批处理删除自身文件,被感染的用户会造成网速大大下降,影响了用户正常浏览网页。
行为分析-本地行为
  1、动态加载大量系统库文件,动态获取大量API函数,创建一个iexplore.exe进程,将地址00400000处病毒代码写入到该进程中,连接读取网页信息下载病毒文件,下载的病毒文件运行后会后台隐藏连接大量网站地址,病毒运行完毕后使用BAT批处理删除自身文件。
2、文件运行后会释放以下文件
%System32%\winset.ini
%System32%\zpce.exe (4位随机病毒名)
3、添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cftmon
值: 字符串: "C:\WINDOWS\system32\livk.exe"
描述:添加注册表启动项
行为分析-网络行为
  协议:TCP
端口:80
连接域名地址:http://www.yahoomailchecking***.com/first.php
描述:连接以上地址按配置信息连接以下链接下载病毒文件
35http://www.netspond***.com/hgcheck.exe
一旦运行了下载的病毒文件,将后台隐藏连接大量网站地址按参数点击以下包含的网站
GET /getwork.php?machineid=8745522512521799452995760&pubuserid=kfc&checkversion=35 HTTP/1.1
Content-Type: text/html
Host: www.yahoomailchecking***.com
Accept: text/html, */*
HTTP/1.1 200 OK
Date: Tue, 05 May 2009 04:02:18 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8b mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.8
X-Powered-By: PHP/5.2.8
Content-Length: 1609
Content-Type: text/html
http://www.yahoomailchecking***.com/http://www.qq-com-qb***.com/
http://www.qqb365***.net/35http://www.netspond***.com/hgcheck.exe[open][1]
http://www.google.com/[delay]2[open][1]
http://www.lynxtrack***.com/afclick.php?o=8237&b=m6yp6g62&p=6802&l=1&c=67086,
http://www.gpcconsulting***.net[delay]5[complete][1][delay]7[open][1]
http://www.incentaclick***.com/nclick.php?id=27200&cid=6004,
http://www.weightlossresearch***.biz[delay]8[complete][1][delay]5[open][1]
http://click.linkstattrack***.com/zoneId/256519,
http://www.trust42***.com[delay]8[complete][1][delay]6[open][1]
http://www.thebizoppnetwork***.com/z/11879/CD171/,[delay]8[complete][1][delay]5[open][1]
http://click.linkstattrack***.com/zoneId/258103,
http://www.financeare***.com[delay]6[complete][1][delay]7[open][1]
http://network***.triadmedianetwork.com/42/8180/19784/,
http://www.fight-fat***.info[delay]3[complete][1][delay]5[open][1]
http://www.consumerincentiverewards***.com/rd_p?
p=173123&t=2863&c=34311-ipodtrv_728_pzhallepostbabya&a=Custom_Variable_For_This_Creative_Here,
http://www.erasdirect.com[delay]6[complete][1][delay]7[open][1]
http://www.onlinerewardcenter***.com/rd_p?
p=173126&t=568&c=36304-xboxwiips3014_180_pzwhopari&a=Custom_Variable_For_This_Creative_Here,
http://www.erasdirect***.com[delay]5[complete][1][delay]52024,2049,1982,2007,2081,2061,2067,2029,2025,
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。