天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

G Data(歌德塔)病毒活跃情况报告2012年第10期

2012-11-16比特网厂商

  排名名称比例同比8月

  1Win32:DNSChanger-VJ [Trj]11.81 % 持平(8月第1位)

  2Trojan.Wimad.Gen.13.48 % 持平(8月第2位)

  3Trojan.Sirefef.HU1.79 % NEW!新入榜

  4Win64:Sirefef-A [Trj]1.73 % 下降(8月第3位)

  5JS:Iframe-KV [Trj]1.64 % NEW!新入榜

  6Win32:ZAccess-IJ [Trj]1.46 % NEW!新入榜

  7Win32:ZAccess-JC [Trj]1.09 % NEW!新入榜

  8Trojan.Sirefef.HH0.86 % 下降(8月第5位)

  9Trojan.Sirefef.JZ0.79 % NEW!新入榜

  10Trojan.Sirefef.GY0.69 % 下降(8月第9位)

  本期关注:

  1、Win32:DNSChanger-VJ [Trj] 连续4周名列榜首。虽然这个病毒,出现到流行, 已经有很长一段时间了,可最近又有大范围爆发的趋势。

  2、本期排名前十的病毒中依旧有7位是基于Sirefef木马家族的病毒,比上月又增长1个。Sirefef木马一般通过篡改系统文件等, 引导用户访问他们预设的网站, 通过此种方式, 获取广告推广佣金。虽然可能对用户电脑, 不会有很危险的操作,但同样会有很多的潜在威胁。

  3、歌德塔G Data(www.gdata-china.com)安全专家提醒您,近期微软更新频繁,请及时安装系统补丁,以免病毒会利用系统漏洞攻击您的电脑。

  入榜病毒分析:

  1、 Win32:DNSChanger-VJ [Trj]

  此为Rootkit病毒的一部分,目的是保护其他病毒组件。例如,它可以阻止安全软件升级更新。访问网站主机将被解析为“本地主机”。这就有效的使其无法访问。这也是此病毒为什么叫做“DNSChanger”,因为它操纵DNS协议。

  2、Trojan.Wimad.Gen.1

  该木马伪装成一个正常的WMA音频文件-要求安装一个特殊的解码器,才可在Windows系统上播放。如果用户运行该文件,攻击者可在系统上安装各种恶意代码。该受感染的音频文件,主要通过共享网络传播。

  3、Trojan.Sirefef.HU

  这是一个基于Sirefef木马家族关于rootkit组件的检测。经常会在“%Windir%\Installer\U\{GUID}\”位置下,指向一个名为 "000000??@" 的dll文件。它不包含任何的可执行代码,但是会收集虚拟货币(这样的代码称之为miner)。用这样一个miner,攻击者可以收集被感染的计算机中的各种虚拟货币,并窃取,从中获利。

  4、Win64:Sirefef-A [Trj]

  这个一个基于Sirefef木马家族关于rootkit组件的检测。此病毒用自身变量名自我复制.dll文件到Windows系统文件夹(/WINDOWS/system32)。此外,它还会修改其他几个系统文件来掩饰Sirefef木马病毒。其目的是,在网页浏览器内操控修改搜索引擎结果,来引导用户点击这些修改过的结果,从而可以获取因点击该网址而获得的推广费用。

  5、JS:Iframe-KV [Trj]

  这是一个加载于成人网站的JavaScript恶意代码。JavaScript会在远程服务器在网页中注入IFRAME指向到一个.php文件。这个php文件窃取用户session令牌,然后设置cookies为被劫持状态。当登陆facebook的时候,恶意程序会用一条短网址,发送到用户墙上一条消息“Krist*n St?art Was T*ap*d Dr*onk & Hav1ng S*ex!”吸引其他用户点击。

  6、Win32:ZAccess-IJ [Trj]

  这个32位的dll文件是基于Sirefef 病毒的组件之一。它的主要目的是,改变搜索引擎结果,使得感染者点击预先设定好的链接(支付点击广告)。这些文件经常以 "80000032.@"命名注入到“%Windows%\Installer\{GUID}\U\”中。它会监控网络并且会预先设定好几个链接。

  7、Win32:ZAccess-JC [Trj]

  这个32位的dll文件是基于Sirefef 病毒的组件之一。它的主要目的是,改变搜索引擎结果,使得感染者点击预先设定好的链接(支付点击广告)。这些文件经常以 "80000032.@"命名注入到“%Windows%\Installer\{GUID}\U\”中。它会监控网络并且会预先设定好几个链接。

  8、Trojan.Sirefef.HH

  这是一个基于Sirefef木马家族针对64位系统,关于rootkit组件的检测。这个文件通常会在“%Windows%\Installer\U\{GUID}”中注入一个 "800000cb.@" 文件。这个组件会监控系统文件,例如"svchost.exe" 并会在其中注入恶意代码。因为这个组件用了比较先进的反debugging技术,所以为安全厂家分析增加了难度。

  9、Trojan.Sirefef.JZ

  这是一个基于Sirefef木马家族关于rootkit组件的检测。经常会在“%Windir%\Installer\U\{GUID}\”位置下,指向一个名为 "000000??@" 的dll文件。它不包含任何的可执行代码,但是会收集虚拟货币(这样的代码称之为miner)。用这样一个miner,攻击者可以收集被感染的计算机中的各种虚拟货币,并窃取,从中获利。

  10、Trojan.Sirefef.GY

  这是一个基于Sirefef木马家族针对64位系统,关于rootkit组件的检测。木马会在被感染系统的"%Windir%\Installer\U\{GUID}\"或"%Userdir%/%user%/AppData/Local/{GUID}/U" 下注入一个名为 "00000004.@" 的文件。这个文件会收集可以使用在其他Sirefet木马组件上的资源数据。

本文来源:比特网 作者:厂商

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行