福义轩信息技术安全威胁每周警讯2009-05-31--2009-06-06
安
全
威
胁
每
周
警
讯
|
|
2009-05-31~2009-06-06
|
本周威胁指数
|
TrendMicro中国区网络安全监控中心
|
前十大病毒警讯
排名
|
病毒名称
|
威胁类型
|
风险等级
|
趋势
|
病毒行为描述
|
1
|
TROJ_AMTS.A
|
木马
|
★★★
|
|
木马程序
|
2
|
TROJ_IFRAME.CP
|
木马
|
★★
|
|
GIF 、jpg和SWF文件中被插入一个恶意的iframe标记时,趋势科技会将其判断为TROJ_IFRAME.CP病毒。
当这些文件被执行时,会重定向到这些URL,并下载恶意程序。
|
3
|
HTML_HIFRM.A-CN
|
网页感染
|
★★
|
|
该病毒通常是用户访问网页时感染,一旦使用者访问了插入恶意脚本的网站,可能会在不知情的状况下下载病毒文件,或连接到其他恶意网站。
|
4
|
HTML_IFRAME.AZ
|
网页感染
|
★★
|
|
该病毒通常是用户访问网页时感染,一旦使用者访问了插入恶意脚本的网站,可能会在不知情的状况下下载病毒文件,或连接到其他恶意网站。
|
5
|
TROJ_DOWNAD.INF
|
木马
|
★★★
|
|
Worm_downad关联木马
|
6
|
WORM_DOWNAD.AD
|
蠕虫
|
★★★★
|
|
该病毒会攻击未安装微软IE漏洞 MS08-067的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中500个恶意网站下载病毒
|
7
|
HTML_DLOAD.NH
|
网页感染
|
★★
|
|
插入恶意脚本的网页文件
|
8
|
WORM_ECODE.E-CN
|
蠕虫
|
★★★★
|
|
用易语言编写的病毒
|
9
|
WORM_DOWNAD.AD
|
蠕虫
|
★★★★
|
|
该病毒会攻击未安装微软IE漏洞 MS08-067的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中500个恶意网站下载病毒
|
10
|
Dialer_Win32Dial
|
木马
|
★★★
|
|
该病毒通常是用于盗取用户帐号信息的木马病毒。一旦中了该病毒,该病毒会通过修改IE主页,强制用户访问一些未知站点。
|
注:WSH (Windows Scripting Host) windows 脚本宿主 即你自己编写了一个脚本文件,如后缀为 .vbs 或 .js 的文件,然后在 Windows 下双击并执行它,这时,系统就会自动调用一个适当的程序来对它进行解释并执行,而这个程序,就是 Windows Scripting Host,程序执行文件名为 Wscript.exe (若是在命令行下,则为 Cscript.exe)
本周安全趋势分析
根据TrendMicro中国区网络安全监控中心近日统计数据分析, Web类威胁仍为目前网络的主要威胁,Web威胁的后果一般是大量木马、间谍软件等入侵及其他恶意文件被下载传播。 通过对上述10大类病毒的威胁分析,我们发现最近呈上升趋势的威胁来自于网页感染的木马间谍类病毒,如下:
Dialer_Win32Dial
该病毒通常是拨号类软件安装释放的组件,通常执行了一些第三方拨号程序,会跳出如下对话框:
感染该病毒之后,该病毒会有如下行为:
在注册表IE设定修改键值如下:
HKEY_CURRENT_USER>Software>Microsoft>Windows> CurrentVersion>Internet Settings>ZoneMap>Domains
并在右侧添加以下键值:
happyfile.net
otherchance.com
archiviosex.net
修改IE主页地址及相关快速链接地址,如下:
%Application Data%\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\EXSPLORER.LNK
%Application Data%\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\W1INMOVIEPLUGIN.LNK
%Desktop%\EXSPLORER.LNK
%Desktop%\W1INMOVIEPLUGIN.LNK
%Favorites%\EXSPLORER.LNK
%Favorites%\W1INMOVIEPLUGIN.LNK
%My Documents%\EXSPLORER.LNK
%My Documents%\W1INMOVIEPLUGIN.LNK
%Start Menu%\EXSPLORER.LNK
%Start Menu%\Programs\EXSPLORER.LNK
%Start Menu%\Programs\W1INMOVIEPLUGIN.LNK
%Start Menu%\W1INMOVIEPLUGIN.LNK
该病毒感染之后会有如下行为:
n 该病毒会根据用户上网习惯,记录IE缓存,窃取用户的帐号等信息
n 用户只要打开IE浏览器,便会被强制链接到被该病毒更改的网页页面。
目前的解决方案:
n 该病毒来源于第三方软件,建议教育员工不要随意下载并安装网络中的第三方软件
n 建议定期清理IE临时文件夹内信息,即上网记录信息。由于目前大多数网页病毒均会利用该IE临时缓存区的信息进行攻击和信息窃取等恶意行为。
n 该病毒已经可以被趋势查杀,可以通过OSCE,闪电杀毒手检测并清理。