福义轩信息安全威胁每周计算机网络病毒警讯
安
全
威
胁
每
周
警
讯
|
|
2009-05-03~2009-05-09
|
本周威胁指数
|
TrendMicro中国区网络安全监控中心
|
前十大病毒警讯
排名
|
病毒名称
|
威胁类型
|
风险等级
|
趋势
|
病毒行为描述
|
1
|
Mal_Hifrm
|
木马
|
★★★
|
|
这是趋势科技检测其行为和特征码类似于下列病毒:HTML_IFRAME
如果您的趋势科技产品侦测到的档案根据这项检测的病毒名,请不要执行该文件。立即删除,尤其是如果它来自一个不可信的或来历不明的渠道(例如,一个网站,可疑的性质) 。
|
2
|
TROJ_IFRAME.CP
|
木马
|
★★★
|
|
GIF 、jpg和SWF文件中被插入一个恶意的iframe标记时,趋势科技会将其判断为TROJ_IFRAME.CP病毒。
当这些文件被执行时,会重定向到这些URL,并下载恶意程序。
|
3
|
HTML_HIFRM.A-CN
|
网页感染
|
★★
|
|
该病毒通常是用户访问网页时感染,一旦使用者访问了插入恶意脚本的网站,可能会在不知情的状况下下载病毒文件,或连接到其他恶意网站。
|
4
|
Mal_Otorun1
|
木马
|
★★★
|
|
这是趋势科技检测为可疑的Autorun.inf文件,允许在可移动驱动器自动执行的恶意软件。
|
5
|
ADW_TCENT
|
广告软件
|
★
|
|
腾讯广告软件
|
6
|
WORM_ECODE.E-CN
|
蠕虫
|
★★★
|
|
该病毒为使用E语言编写的蠕虫病毒
|
7
|
JS_DLOAD.TI
|
脚本病毒
|
★★
|
|
可能有恶意意图的JavaScript文件
|
8
|
TROJ_DOWNAD.INF
|
广告软件
|
★
|
|
腾讯广告软件
|
9
|
HTML_IFRAME.AZ
|
蠕虫
|
★★
|
|
该病毒通常是用户访问网页时感染,一旦使用者访问了插入恶意脚本的网站,可能会在不知情的状况下下载病毒文件,或连接到其他恶意网站。
|
10
|
Mal_Otorun2
|
木马
|
★★
|
|
这是趋势科技检测为可疑的Autorun.inf文件,允许在可移动驱动器自动执行的恶意软件。
|
注:WSH (Windows Scripting Host) windows 脚本宿主 即你自己编写了一个脚本文件,如后缀为 .vbs 或 .js 的文件,然后在 Windows 下双击并执行它,这时,系统就会自动调用一个适当的程序来对它进行解释并执行,而这个程序,就是 Windows Scripting Host,程序执行文件名为 Wscript.exe (若是在命令行下,则为 Cscript.exe)
本周安全趋势分析
根据TrendMicro中国区网络安全监控中心近日统计数据分析, Web类威胁仍为目前网络的主要威胁,Web威胁的后果一般是大量木马、间谍软件等入侵及其他恶意文件被下载传播。 通过对上述10大类病毒的威胁分析,我们发现最近呈上升趋势的威胁来自于利用U盘进行传播的病毒,如下:
WORM_ECODE.E-CN
该病毒感染之后会有如下行为:
n system32文件夹中会生成一个 XP-****.exe(其中**是一个大写字母与数字混合,如XP-02B94AC1.exe的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立几个启动项
n 在system32文件夹中会生成一个 Iasex.dll( msexIas.dll ),该dll注入进svchost,通过服务启动,键值如下:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ias\ParametersServiceDll = [CHECK]C:\WINDOWS\system32\msexIas.dll
该病毒感染之后会有如下行为:
n 病毒文件名一般以文件夹的名称来命名,例如“新建文件夹.exe”、“音乐.exe”等
n 病毒路径在移动盘符所在的根目录以及C:\WINDOWS\system32\(6位随机)目录下
目前的解决方案:
n 该病毒主要利用了系统默认开启“隐藏已知文件类型的后缀名”该功能,使用户将文件夹图标的病毒文件误认为是正常文件夹双击打开
n 可以通过OSCE,闪电杀毒手检测并查杀