最新病毒库日期:
  • 一周安全播报(5.1-5.7)
2017-05-08 16:44 来源:未知
【文章摘要】(一)总体情况分析 上周互联网安全威胁程度为中度。 (二)计算机病毒情况 1、上周计算机病毒威胁程度为(轻度、中度、严重),判断依据? 上周计算机病毒威胁程度为中度。 2、
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(6801→7700)上升了13% ,而感染的计算机台数(110741→118076)上升了6% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 TrojanDownloader.Generic.avwg 暂无  1.46% 1696
  2 Trojan.Crypto.a 暂无  1.22% 1413
  3 Exploit.BypassUAC.eo 暂无  1.10% 1272
  4 Trojan.Generic.aikna 暂无 →0  0.97% 1130
  5 Trojan.Generic.aritr 暂无 →0  0.97% 1130
  6 Trojan.Generic.atgpu 暂无 ↑2  0.97% 1130
  7 Trojan.Scar.ike 暂无 →0  0.97% 1130
  8 XF/Agent.Gen 暂无  0.97% 1130
  9 Trojan.Inject.xns 暂无  0.85% 989
  10 Trojan/Agent.bing 暂无  0.85% 989
  合计         12009
 4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
病毒名称: Trojan/Win32.Agent.aggr[Dropper]
病毒类型: 后门
文件 MD5: 1561F74A0AE69F0DE370E43F4ABC85BE
公开范围: 完全公开
危害等级: 4
文件长度: 151,552 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
该恶意代码文件为远程控制后门类木马,病毒运行后创建Server.tmp病毒文件到临时目录下,写入126976字节病毒数据,动态加载Server.tmp文件,解密病毒资源信息包括(病毒的连网上线地址、端口、服务名),将Server.tmp移动到%System32%目录内,调用rundll32.exe命令隐藏启动病毒DLL文件,添加注册表病毒服务使用服务达到开机自启动目的,病毒运行完后调用CMD删除自身文件,开启SVCHOST.EXE进程连接到作者指定的地址,等待接收病毒作者发送的控制指令,被感染的机器会被病毒作者完全控制释放批处理文件用于删除病毒自身文件。
1、文件运行后会释放以下文件
%System32%\breemat.dll
2、创建注册表病毒服务项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\abcd\Description
值: 字符串: "breeR"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\abcd\DisplayName
值: 字符串: "bree"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\abcd\Parameters\ServiceDll
值: 字符串: "C:\WINDOWS\system32\breemat.dll."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\abcd\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\abcd\Type
值: DWORD: 272 (0x110)
3、解密病毒资源信息包括(病毒的连网上线地址、端口、服务名):
加密前
"-gEAA5YB8QIClgHxAgLRlpYB8QIC+v7zvQP7+5YDAvuWlvfz8++pvLzv77S0rq+9sLCxsb388QSpsbCzsp8="
解密后
"abcd bree breeR breemat.dll del http://pp7710.3***.org:2345"
解密代码:
00401F02 |> /8B5424 04 /MOV EDX,DWORD PTR SS:[ESP+4]
00401F06 |. |8A1C11 |MOV BL,BYTE PTR DS:[ECX+EDX]
00401F09 |. |80C3 7A |ADD BL,7A
00401F0C |. |881C11 |MOV BYTE PTR DS:[ECX+EDX],BL
00401F0F |. |8B5424 04 |MOV EDX,DWORD PTR SS:[ESP+4]
00401F13 |. |8A1C11 |MOV BL,BYTE PTR DS:[ECX+EDX]
00401F16 |. |80F3 19 |XOR BL,19
00401F19 |. |881C11 |MOV BYTE PTR DS:[ECX+EDX],BL
00401F1C |. |41 |INC ECX
00401F1D |. |3BC8 |CMP ECX,EAX
00401F1F |.^\7C E1 \JL SHORT 6.00401F02
使用RUN32DLL.EXE启动病毒DLL文件"rundll32.exe C:\WINDOWS\system32\breemat.dll setup"
协议:TCP
端口:2345
IP地址:http://pp7710.3***.org
描述:连接到该域名等待接收病毒作者发送的控制指令
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir%             WINDODWS所在目录
         %DriveLetter%          逻辑驱动器根目录
         %ProgramFiles%          系统程序默认安装目录
         %HomeDrive%           当前启动的系统的所在分区
         %Documents and Settings%    当前用户文档根目录
         %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
         %System32%            系统的 System32文件夹
         Windows2000/NT中默认的安装路径是C:\Winnt\System32
         windows95/98/me中默认的安装路径是C:\Windows\System
         windowsXP中默认的安装路径是C:\Windows\System32
1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
2、删除病毒服务注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\abcd]
删除Qq键下的abcd键值