1. Win32.Troj.FakeFolderT.yl.1407388(文件夾模仿者)
展開(kāi)描述: 模仿文件夾圖標(biāo)�����,欺騙用戶點(diǎn)擊
卡巴命名: P2P-Worm.Win32.Agent.ta�����、Trojan-
Dropper.Win32.Flystud.ko�、
瑞星命名: Trojan.Win32.ECode.ee
�、orm.Win32.Agent.aaq
NOD32命名: virus.Win32.Small.L、
Worm.Win32.AutoRun.FlyStudio.GS
麥咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virus
此毒將自己的圖標(biāo)偽裝成系統(tǒng)文件夾的樣子����,用戶在U盤(pán)中看到一個(gè)陌生文件夾時(shí),多半都會(huì)去點(diǎn)擊�。如此一來(lái),即使用戶禁止了U盤(pán)自動(dòng)播放�,該毒依然能夠?qū)崿F(xiàn)運(yùn)行。運(yùn)行后�����,此毒會(huì)下載一些別的惡意程序���,執(zhí)行多種破壞行為����。
此外�����,有一些腳本掛馬也會(huì)幫助該毒傳播��,一旦它們利用系統(tǒng)安全漏洞攻入電腦����,就會(huì)立即下載包括"文件夾模仿者"在內(nèi)的其它惡意程序。
根據(jù)變種的不同���,此毒會(huì)呈現(xiàn)多種癥狀���,其中比較明顯的一種,是用戶系統(tǒng)中的文件夾全部變?yōu)椴《镜腅XE文件�,用戶必須點(diǎn)擊病毒文件才可進(jìn)入文件夾。這使得病毒得以多次運(yùn)行����,如果該變種所攜帶的執(zhí)行模塊是廣告插件,那么就會(huì)盡可能多的彈出廣告網(wǎng)頁(yè)����。
阻止此毒進(jìn)入系統(tǒng)的最佳辦法,是打齊系統(tǒng)補(bǔ)丁并安裝金山安全實(shí)驗(yàn)室的"網(wǎng)盾"�����,該工具目前由數(shù)十萬(wàn)人參與測(cè)試�,穩(wěn)定性不斷增強(qiáng),可100%攔截包括0day漏洞在內(nèi)的所有漏洞利用代碼���,粉碎黑客的掛馬攻擊意圖���。
網(wǎng)盾下載地址 http://labs.duba.net/wd.shtml
2. Win32.troj.addownload.ef.26184 (非法插件安裝器)
展開(kāi)描述:擅自安裝插件���,傳播流氓軟件
"非法插件安裝器"(win32.troj.addownload.ef.26184)在整個(gè)四月里,感染量始終在緩慢攀升���?�?偟母腥玖砍^(guò)359萬(wàn)臺(tái)次�����。此毒是一個(gè)專門(mén)幫助流氓軟件進(jìn)入用戶電腦安裝的下載器�����。它借助一些腳本木馬的幫助�,或者捆綁于其它程序�,入侵用戶電腦。
一旦入侵成功���,就會(huì)下載一個(gè)文件名為kxsosetup.exe的瀏覽器插件���,并將其強(qiáng)行安裝到用戶電腦中,隨后就不時(shí)彈出廣告窗口�����,十分煩人�����。
如發(fā)現(xiàn)電腦中混入這個(gè)kxsosetup.exe插件�,使用金山清理專家的"惡意軟件查殺"功能即可將其清除。如果遭遇特別頑固的變種����,那么也可以借助清理專家"安全百寶箱"中的"文件粉碎機(jī)"功能將其粉碎。
3. Win32.troj.gaopsget.49893(高頻下載器)
展開(kāi)描述: 頻繁下載惡意軟件 占用系統(tǒng)資源
卡巴命名: Trojan-Dropper.Win32.Microjoin.ap
瑞星命名: Dropper.Agent.naq
NOD32命名: Trojan.Win32.TrojanDropper.MultiJoiner.13.B
麥咖啡命名: MultiDropper-MR trojan
"高頻下載器"(win32.troj.gaopsget.49893)這款木馬下載器在四月中旬時(shí)開(kāi)始成為我們關(guān)注的焦點(diǎn)�����,此后的幾天里�,它的感染量一直緩慢上升,在四月的總感染量接近300萬(wàn)臺(tái)次�����。
這是一個(gè)木馬下載器。當(dāng)它將自己的文件釋放到系統(tǒng)臨時(shí)目錄后�,就會(huì)開(kāi)始下載大量的木馬程序,其中大部分為網(wǎng)游盜號(hào)木馬�。只要不被刪除,它在每次開(kāi)機(jī)后都會(huì)執(zhí)行一次下載�����,嚴(yán)重占用系統(tǒng)資源����。
如果用戶在自己電腦中發(fā)現(xiàn)有此毒的查殺報(bào)告,說(shuō)明系統(tǒng)中存在某些安全漏洞����,請(qǐng)盡快用清理專家打齊補(bǔ)丁,并清空系統(tǒng)緩存�。
如果這樣仍然不斷報(bào)告說(shuō)發(fā)現(xiàn)此毒,那么則表明將該毒引入您電腦的腳本木馬����,利用的是某種未知漏洞。這種情況下�����,下載"網(wǎng)盾"安裝,即可堵住這些未知漏洞�。
4. Win32.troj.sysjunk2.ak.196608 (干擾彈AK)
展開(kāi)描述:干擾反病毒工作者,阻止查殺
瑞星命名::RootKit.Win32.Undef.bzl
面對(duì)殺毒軟件的圍追堵截���,病毒作者從來(lái)都不會(huì)愿意束手就擒,他們采用各種方法進(jìn)行對(duì)抗���。其中"加花指令"就是他們常用的一種手段����。
"干擾彈AK"(win32.troj.sysjunk2.ak.196608)��,就是個(gè)"加花指令"��。這種病毒文件本身不會(huì)對(duì)系統(tǒng)有任何危害�����,但里面包含有大量的垃圾數(shù)據(jù)�����,病毒作者希望以此來(lái)干擾反病毒人員的分析工作����。如果殺毒軟件廠商的反
病毒工程師技術(shù)不強(qiáng)����,就有可能無(wú)法處理此毒����。
此外,通過(guò)對(duì)此毒分析�,金山毒霸反病毒工程師發(fā)現(xiàn),此毒在進(jìn)入系統(tǒng)后會(huì)與病毒其它文件一起隨機(jī)藏匿在一些比較深的目錄中����。如果用戶發(fā)現(xiàn)電腦上出現(xiàn)此毒,建議進(jìn)行全盤(pán)查殺�,揪出它隱藏的"同伙"。
同時(shí)���,下載安裝金山安全實(shí)驗(yàn)室的"網(wǎng)盾"���,封鎖此毒借助腳本下載器進(jìn)入電腦的通道。
網(wǎng)盾下載地址http://labs.duba.net/wd.shtml
5. Win32.vbt.hl.84701 (無(wú)公害感染源)
展開(kāi)描述:
卡巴命名:Virus.Win32.VB.bu
瑞星命名:Trojan.PSW.SBoy.a
NOD32命名:virus.Win32.Sality.NAC
麥咖啡命名:PWS-LegMir trojan
"無(wú)公害感染源"(win32.vbt.hl.84701)在過(guò)去的兩個(gè)月����,一直是感染量排行榜中的?����??。在4月份���,它的感染總量繼續(xù)上升���,達(dá)到220萬(wàn)臺(tái)次���,這個(gè)數(shù)字比3月份時(shí)多出20萬(wàn)�����。
該毒本身沒(méi)有任何破壞能力���,它只是單純的感染用戶電腦中的EXE文件,也不會(huì)干擾被感染文件的正常運(yùn)行�。
但是,該毒現(xiàn)在的版本中增加了一些用于與其它模塊相連接的接口�,這使得它能夠幫助那些具有惡意行為的病毒模塊進(jìn)行傳播。至于它們"合體"后會(huì)有哪些危害,則要看木馬執(zhí)行模塊的功能如何安排����,不同的變種可能具有不同的功能。
此毒傳播的方式多樣����,既借助網(wǎng)頁(yè)掛馬傳播,又借助U盤(pán)傳播���,部分樣本還與別的正常程序捆綁在一起��,通過(guò)用戶的下載混進(jìn)電腦��。
6. Win32.trojdownloader.delf.td.145840(寶馬下載器變種)
展開(kāi)描述:變種數(shù)量大��,頻繁免殺����,下載惡意程序
卡巴命名: Trojan-Dropper.Win32.Agent.alqf
瑞星命名: Trojan.PSW.Win32.GameOL.xiw
NOD32命名: Trojan.Win32.Agent.PDQ
毫無(wú)疑問(wèn)����,寶馬下載器是整個(gè)四月里,傳播范圍最廣的惡意程序����。它的變種數(shù)量很大���,每逢重要節(jié)假日,病毒作者都會(huì)"加班"推出一批新變種�。
win32.trojdownloader.delf.td.145840這個(gè)變種,在清明期間開(kāi)始爆發(fā)��,并成為四月感染量較大的病毒之一���。
該毒具備有對(duì)抗殺毒軟件的能力���,會(huì)采用多種方式嘗試中止殺軟進(jìn)程或禁止殺軟的服務(wù),甚至還會(huì)釋放出一個(gè)驅(qū)動(dòng)來(lái)用于穿透系統(tǒng)還原保護(hù)和某些殺軟的"主動(dòng)防御"�����。
毒霸可攔截該毒和它所下載的盜號(hào)木馬����,如果發(fā)現(xiàn)自己電腦上頻繁出現(xiàn)此毒����,并非該毒"殺不掉",而是表明有別的未知下載器不斷的將其"復(fù)活",這種情況�����,只需下載安裝金山安全實(shí)驗(yàn)室的"系統(tǒng)急救箱"���,就可解決問(wèn)題����。
"系統(tǒng)急救箱"下載地址http://labs.duba.net/jjx.shtml���,下載前請(qǐng)閱讀說(shuō)明�。
7. Win32.troj.encodeie.ao.524288 (傳奇盜號(hào)下載器AO)
展開(kāi)描述:盜竊網(wǎng)游帳號(hào)���,非法轉(zhuǎn)移虛擬財(cái)產(chǎn)
卡巴命名:Trojan.Win32.BHO.nng
瑞星命名:RootKit.Win32.Agent.etj
"傳奇盜號(hào)下載器AO"(win32.troj.encodeie.ao.524288)在三月份時(shí)���,就已被收錄到當(dāng)期的安全月報(bào)中。然而在四月���,此毒依然猖獗����。
通過(guò)不斷更新變種和借助掛馬推廣,該毒始終保持著較高的感染量���。毒霸反病毒工程師對(duì)其分析后發(fā)現(xiàn)��,它可以下載許多別的木馬到用戶電腦中運(yùn)行�,但其自身也具有盜號(hào)功能��,根據(jù)變種的不同���,可以利用內(nèi)存注入����、鍵盤(pán)記錄����、消息截獲等多種手段盜取《傳奇》的帳號(hào)。
同時(shí)���,根據(jù)變種不同,該毒也能盜取其它游戲的賬號(hào)密碼信息�。
使用"系統(tǒng)清理專家"打齊系統(tǒng)補(bǔ)丁是免受此毒騷擾的最簡(jiǎn)單辦法。
8. Win32.troj.delf.ks.73728 (U盤(pán)感染蟲(chóng)變種)
展開(kāi)描述: 借助U盤(pán)傳播�����,危害局域網(wǎng)
卡巴命名:Trojan-Downloader.Win32.Agent.bprr
瑞星命名: Worm.Win32.NSDownloader.au
NOD32命名: Trojan.Win32.TrojanDownloader.Agent.OMQ
麥咖啡命名: Downloader-BNM Trojan
Win32.troj.delf.ks.73728是個(gè)普通的U盤(pán)病毒,能通過(guò)釋放AUTO文件在U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備與電腦之間自由復(fù)制感染��。此毒進(jìn)入系統(tǒng)后的行為多變��,根據(jù)變種的不同���,可執(zhí)行下載木馬�、遠(yuǎn)程控制��、彈廣告等多種破壞�。這些都是比較傳統(tǒng)的U盤(pán)病毒的特征。
之所以擁有較大的感染量����,毒霸安全專家認(rèn)為可能是有網(wǎng)頁(yè)掛馬在為此毒做推廣,而該毒借助U盤(pán)在辦公室局域網(wǎng)之間的傳播���,也很可能是它感染量較大的原因之一����。
9. Win32.troj.killav.ec.118784(寶馬下載器變種)
展開(kāi)描述:變種數(shù)量大����,頻繁免殺����,下載惡意程序
卡巴命名:Trojan-
Downloader.Win32.Geral.aj,HEUR.Trojan.Win32.AntiAV
瑞星命名: Trojan.Win32.KillAV.azz
,
Dropper.Win32.AntiAV.f
NOD32命名: Trojan.Win32.TrojanDownloader.Agent.OZY
win32.trojdownloader.delf.td.145840也是寶馬下載器的一個(gè)變種����。
該毒在對(duì)抗安全軟件、下載惡意程序�、威脅系統(tǒng)安全方面,與上面已經(jīng)提到的win32.trojdownloader.delf.td.145840完全一致�。
毒霸可攔截該毒和它所下載的盜號(hào)木馬,如果發(fā)現(xiàn)自己電腦上頻繁出現(xiàn)此毒�����,并非該毒"殺不掉"�����,而是表明有別的未知下載器不斷的將其"復(fù)活"�,這種情況,只需下載安裝金山安全實(shí)驗(yàn)室的"系統(tǒng)急救箱"����,就可解決問(wèn)題。
"系統(tǒng)急救箱"下載地址http://labs.duba.net/jjx.shtml�����,下載前請(qǐng)閱讀說(shuō)明�����。
10. Win32.trojdownloader.mnless.16384(對(duì)抗型下載器)
展開(kāi)描述:對(duì)抗安全軟件���,下載惡意程序
卡巴命名:Trojan-Downloader.Win32.Agent.bqsm,
Rootkit.Win32.Agent.fia
瑞星命名:Trojan.DL.Win32.Mnless.csg
,
RootKit.Win32.Agent.ehy
NOD32命名:Trojan.Win32.Agent.ONG,
Worm.Win32.AutoRun.Agent.EU
此毒的行為基本與寶馬下載器一致����,不過(guò)它們并不是同一類東西����。這反映出了黑客們的技術(shù)共享有多么"融洽",不同的病毒作者可以共享同一種病毒技術(shù)��。
對(duì)付該毒不需要什么特別的辦法��,打齊系統(tǒng)補(bǔ)丁����、安裝網(wǎng)盾之類的防掛馬工具即可���。
本月重大漏洞介紹
在4月,微軟更新了MS09-014漏洞補(bǔ)?���。▽?duì)應(yīng)補(bǔ)丁編號(hào)為KB963027),用于替換之前的MS09-002和MS08-078兩個(gè)高危漏洞補(bǔ)丁�,用戶修補(bǔ)了MS09-014后可以不再修補(bǔ)另兩個(gè)漏洞。
這種使用新補(bǔ)丁替換舊補(bǔ)丁的情況�����,被稱為"累積性的安全更新"���,也就是說(shuō)���,同一個(gè)漏洞問(wèn)題,如果之前推出的補(bǔ)丁沒(méi)能徹底解決��,那么就出一個(gè)新的補(bǔ)丁再次升級(jí)�,希望新的補(bǔ)丁可以解決此問(wèn)題。從微軟的這次更新我們可以看出����,MS09-002和MS08-07依然是非常重要的漏洞���。
事實(shí)上��,自從爆出后����,MS09-002和MS08-07就一直是深受腳本木馬作者歡迎的漏洞,在金山毒霸所截獲的腳本木馬中�,有相當(dāng)數(shù)量都含有這兩個(gè)漏洞利用腳本。從理論上說(shuō)�,只要用戶按時(shí)升級(jí),就可以堵住這兩個(gè)漏洞�,但是,出于各種復(fù)雜的原因��,還是有不少用戶的電腦存在這上述漏洞����。
金山毒霸的清理專家模塊具有自動(dòng)監(jiān)測(cè)系統(tǒng)漏洞補(bǔ)丁升級(jí)的功能,一旦微軟推出新的安全補(bǔ)丁�����,就會(huì)在第一時(shí)間為用戶自動(dòng)安裝。因此毒霸用戶不必?fù)?dān)心系統(tǒng)安全���。對(duì)于非毒霸用戶����,我們則建議下載安裝金山安全實(shí)驗(yàn)室的網(wǎng)頁(yè)防掛馬工具"網(wǎng)盾"��,對(duì)潛在的漏洞建立攔截��,阻止腳本木馬通過(guò)網(wǎng)頁(yè)掛馬進(jìn)入電腦�。下載地址 http://labs.duba.net/wd.shtml
