最新病毒库日期:
  • 一周安全播报(2.20-2.26)
2017-02-27 09:40 来源:未知
【文章摘要】一周安全播报(2月20日-2月26日)
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(8029→10381)上升了29% ,而感染的计算机台数(159065→171290)上升了7% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Trojan.Agent.athy 暂无  3.44% 5793
  2 Backdoor/Bifrose.lkj 暂无 ↓1  2.94% 4946
  3 Backdoor/Bifrose.mgn 暂无 ↓1  2.18% 3674
  4 Trojan.Generic.aritr 暂无 ↓1  1.60% 2685
  5 TrojanDropper.Injector.bkye 暂无 ↑2  1.34% 2261
  6 Trojan.AndroidOS.dutt 暂无 ↓1  1.18% 1978
  7 TrojanDownloader.JS.bbah 暂无 ↓3  1.01% 1696
  8 Trojan.Scar.ike 暂无  0.76% 1272
  9 Trojan.Script.trr 暂无  0.67% 1130
  10 AdWare.Amonetize.afav 暂无  0.67% 1130
  合计         26565 
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:   
病毒名称Worm.Sohanad.cpk
病毒类型: 蠕虫
MD531B0807F4C2A70D650CB29C8044D4D63
文件长度:935900  字节
壳信息: UPX -> www.upx.sourceforge.net [Overlay] *
传播途径:通过网络共享传播,通过可移动驱动器传播,通过即时通讯应用程序传播
影响系统: Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等
 病毒介绍:
SOHANAD恶意软件自2006年以来一直存在。它的第一个变种使用即时通讯应用程序传播到其他计算机。 后来的版本包括网络共享传播和通过可移动驱动器传播。蠕虫的这个系列采用AutoIt脚本,一个免费的脚本语言为Windows创建的。 本次病毒变体为屏幕分辨率修改器。由于修改屏幕分辨率需要模拟键盘输入,可被木马利用开启监控键盘行为。
文件系统变化:
创建文件并删除:
C:\Documents and Settings\Administrator\Local Settings\Temp\aut51.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\SkinCrafterDll.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\aut52.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\vista.skf
覆盖已有文件:
C:\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
 注册表变化:
修改注册表:
HKEY_CURRENT_USER\\Software\Microsoft\GDIPlus
[FontCachePath] = [%USERPROFILE%\Local Settings\Application Data]
主要行为:
1 反调试器
2 拷贝自身到系统文件%ProgramFiles%\
3 获取窗口截图信息
4 检测自身是否被调试
5 创建本地线程%temp%\****.exe
6 隐藏指定窗口 [AutoIt v3,AutoIt v3]   [分辨率快速设置工具 3.5,AutoIt v3 GUI]
7 查找窗口Shell_TrayWnd,CicLoaderWndClass
样本危害:
键盘监控利用
手工清理方法:
启用杀毒软件查杀
 应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
 
附详细分析记录:
1 文件图标
 
 
 
2 一次脱壳后文件信息
 
3 二次脱壳后文件
 
 
4 程序获取API:IsThemeActive,检测当前窗口风格是否在活跃状态
 
4 获取系统版本信息
 
5 判断系统位数
 
 
 
6 用户配置文件更新
 
 
 
 
7  判定是否在调试
 
8 调试状态输出对话框
"This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support"
 
 
 
9 注册窗口类,两个处理函数
  
10 jmp过后主代码逻辑,无病毒现象
 
  
11 其他记录虚拟键与分辨率设置相关,分析属于正常程序
 
 


 
 
 
12根据listenAPI函数回溯分析入口