(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(10022→7265)下降了38% ,而感染的计算机台数(207676→137923)下降了51% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:
病毒名称: Trojan/Win32.Small.kvy[Downloader]
病毒类型: 木马下载器
文件 MD5: 39282395C4E6043422C7A06D6251AC52
公开范围: 完全公开
危害等级: 3
文件长度: 3,712 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
病毒描述
该恶意代码文件为木马下载器,病毒运行后会衍生多个病毒DLL文件到系统目录下,并将DLL注入到SVCHOST.EXE进程中然后连接网络读取加密URL列表信息,然后进行解密后会依次连接解密后的URL连接网络下载伪杀毒软件,然后把伪杀毒软件保存到临时目录下,添加注册表启动项,伪杀毒软件下载完毕后会自动安装并且自动扫描磁盘,显示当前系统存在安全隐患,要求用户清除不存在的安全威胁,当用户点击清除按钮就会连接到指定的URL地址要求用户付费后才可以使用清除功能,以此手段来骗取用户的钱财。
行为分析-本地行为
1、文件运行后会释放以下文件
%\system32%\cryptnet32.dll
%\system32%\shimg.dll
%\system32%\dll.dll
%\system32%\crt.dat
%\Temp%\mmavcwhhw\bjpapdelajb.exe
2、该恶意代码运行后动态获取API函数,初始化soket连接69.50.192.***服务器,连接失败则退出,连接成功后向该服务器发送GET请求数据,数据是加密的,读取到内存中每次字节与EF进行异或解密出明文,解密后得到以下3个URL地址:
http://69.50.192.***/data/upd12.dat
http://69.50.192.***/user/up/sl
http://69.50.192.***/user/up/xl3.dat
3、病毒会访问解密出的URL地址去下载伪杀毒软件,在%TEMP%临时目录下衍生一个_14.tmp文件,并创建其进程衍生的这个文件一旦运行后会在%System32%目录下衍生一个dll.dll的病毒文件,然后创建一个线程、遍历进程查找SVCHOST.EXE进程,删除%System32%目录下的crt.dat,打开%System32%目录下SVCHOST.EXE文件,获取文件大小、通过内存映射将SVCHOST.EXE文件映射到内存中并查找是否有dll.dll的字串,可能是用来判断是否已经将DLL.DLL注入到该进程中,在%System32%目录下衍生crt.dat文件,将dll.dll病毒文件利用远程线程方式注入到SVCHOST.EXE进程中。
4、添加注册表启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\uvkdpnmg
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\mmavcwhhw\bjpapdelajb.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\DllName
值: 字符串: "cryptnet32.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\Logoff
值: 字符串: "WinlogonLogoffEX"
5、病毒DLL被注入之后会连接网络下载伪杀毒软件,下载后将其保存到临时目录下命名为随机的文件名,下载完毕后自动运行并添加注册表启动项、扫描出多个不存在的安全威胁来恐吓用户电脑存在安全隐患要求用户清除。当用户点击清除按钮后会连接到http://softwareea.com/shop?abc=cGdpZD04JnI9ODMuMA==要求用户购买。
行为分析-网络行为
病毒会连接以下URL下载伪杀毒软件:
http://69.50.192.***/user/xl3.php 读取解密URL列表
http://69.50.192.***/data/upd12.dat 下载伪杀毒软件
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(10022→7265)下降了38% ,而感染的计算机台数(207676→137923)下降了51% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
| 排名 | 英文名称 | 中文名称 | 变化趋势 | 所占百分比 | 感染计算机数量 | |
| 1 | Downloader.DoubleAgent.a | 暂无 | →0 | 6.67% | 9043 | |
| 2 | Backdoor/Bifrose.lkj | 暂无 | ↑4 | 2.40% | 3250 | |
| 3 | TrojanDownloader.JS.bbah | 暂无 | ↑6 | 1.77% | 2402 | |
| 4 | Downloader.KuziTui.c | 暂无 | ★ | 1.67% | 2261 | |
| 5 | Trojan.Scar.ike | 暂无 | ★ | 1.56% | 2120 | |
| 6 | Trojan.Generic.aritr | 暂无 | ★ | 1.46% | 1978 | |
| 7 | Downloader.Donex.t | 暂无 | ★ | 1.36% | 1837 | |
| 8 | Trojan.Acad.b | 暂无 | ★ | 1.15% | 1554 | |
| 9 | Exploit.BypassUAC.eo | 暂无 | ★ | 1.04% | 1413 | |
| 10 | Exploit.Fuaca.ac | 暂无 | ★ | 1.04% | 1413 | |
| 合计 | 27271 |
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析:
病毒名称: Trojan/Win32.Small.kvy[Downloader]
病毒类型: 木马下载器
文件 MD5: 39282395C4E6043422C7A06D6251AC52
公开范围: 完全公开
危害等级: 3
文件长度: 3,712 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
病毒描述
该恶意代码文件为木马下载器,病毒运行后会衍生多个病毒DLL文件到系统目录下,并将DLL注入到SVCHOST.EXE进程中然后连接网络读取加密URL列表信息,然后进行解密后会依次连接解密后的URL连接网络下载伪杀毒软件,然后把伪杀毒软件保存到临时目录下,添加注册表启动项,伪杀毒软件下载完毕后会自动安装并且自动扫描磁盘,显示当前系统存在安全隐患,要求用户清除不存在的安全威胁,当用户点击清除按钮就会连接到指定的URL地址要求用户付费后才可以使用清除功能,以此手段来骗取用户的钱财。
行为分析-本地行为
1、文件运行后会释放以下文件
%\system32%\cryptnet32.dll
%\system32%\shimg.dll
%\system32%\dll.dll
%\system32%\crt.dat
%\Temp%\mmavcwhhw\bjpapdelajb.exe
2、该恶意代码运行后动态获取API函数,初始化soket连接69.50.192.***服务器,连接失败则退出,连接成功后向该服务器发送GET请求数据,数据是加密的,读取到内存中每次字节与EF进行异或解密出明文,解密后得到以下3个URL地址:
http://69.50.192.***/data/upd12.dat
http://69.50.192.***/user/up/sl
http://69.50.192.***/user/up/xl3.dat
3、病毒会访问解密出的URL地址去下载伪杀毒软件,在%TEMP%临时目录下衍生一个_14.tmp文件,并创建其进程衍生的这个文件一旦运行后会在%System32%目录下衍生一个dll.dll的病毒文件,然后创建一个线程、遍历进程查找SVCHOST.EXE进程,删除%System32%目录下的crt.dat,打开%System32%目录下SVCHOST.EXE文件,获取文件大小、通过内存映射将SVCHOST.EXE文件映射到内存中并查找是否有dll.dll的字串,可能是用来判断是否已经将DLL.DLL注入到该进程中,在%System32%目录下衍生crt.dat文件,将dll.dll病毒文件利用远程线程方式注入到SVCHOST.EXE进程中。
4、添加注册表启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\uvkdpnmg
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\mmavcwhhw\bjpapdelajb.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\DllName
值: 字符串: "cryptnet32.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\Logoff
值: 字符串: "WinlogonLogoffEX"
5、病毒DLL被注入之后会连接网络下载伪杀毒软件,下载后将其保存到临时目录下命名为随机的文件名,下载完毕后自动运行并添加注册表启动项、扫描出多个不存在的安全威胁来恐吓用户电脑存在安全隐患要求用户清除。当用户点击清除按钮后会连接到http://softwareea.com/shop?abc=cGdpZD04JnI9ODMuMA==要求用户购买。
行为分析-网络行为
病毒会连接以下URL下载伪杀毒软件:
http://69.50.192.***/user/xl3.php 读取解密URL列表
http://69.50.192.***/data/upd12.dat 下载伪杀毒软件
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
