福义轩信息技术安全威胁每周警讯2009-05-31--2009-06-06

前十大病毒警讯

注：WSH (Windows Scripting Host) windows 脚本宿主 即你自己编写了一个脚本文件，如后缀为 .vbs 或 .js 的文件，然后在 Windows 下双击并执行它，这时，系统就会自动调用一个适当的程序来对它进行解释并执行，而这个程序，就是 Windows Scripting Host，程序执行文件名为 Wscript.exe （若是在命令行下，则为 Cscript.exe）

 本周安全趋势分析

根据TrendMicro中国区网络安全监控中心近日统计数据分析， Web类威胁仍为目前网络的主要威胁,Web威胁的后果一般是大量木马、间谍软件等入侵及其他恶意文件被下载传播。 通过对上述10大类病毒的威胁分析，我们发现最近呈上升趋势的威胁来自于网页感染的木马间谍类病毒，如下：

Dialer_Win32Dial
该病毒通常是拨号类软件安装释放的组件，通常执行了一些第三方拨号程序，会跳出如下对话框：

感染该病毒之后，该病毒会有如下行为：

 在注册表IE设定修改键值如下：

HKEY_CURRENT_USER>Software>Microsoft>Windows> CurrentVersion>Internet Settings>ZoneMap>Domains  

并在右侧添加以下键值：

happyfile.net
otherchance.com
archiviosex.net

 修改IE主页地址及相关快速链接地址，如下：

%Application Data%\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\EXSPLORER.LNK

%Application Data%\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\W1INMOVIEPLUGIN.LNK 

%Desktop%\EXSPLORER.LNK 

%Desktop%\W1INMOVIEPLUGIN.LNK 

%Favorites%\EXSPLORER.LNK 

%Favorites%\W1INMOVIEPLUGIN.LNK 

%My Documents%\EXSPLORER.LNK 

%My Documents%\W1INMOVIEPLUGIN.LNK 

%Start Menu%\EXSPLORER.LNK 

%Start Menu%\Programs\EXSPLORER.LNK 

%Start Menu%\Programs\W1INMOVIEPLUGIN.LNK 

%Start Menu%\W1INMOVIEPLUGIN.LNK 

该病毒感染之后会有如下行为：

n 该病毒会根据用户上网习惯，记录IE缓存，窃取用户的帐号等信息

n 用户只要打开IE浏览器，便会被强制链接到被该病毒更改的网页页面。

目前的解决方案：

n 该病毒来源于第三方软件，建议教育员工不要随意下载并安装网络中的第三方软件

n 建议定期清理IE临时文件夹内信息，即上网记录信息。由于目前大多数网页病毒均会利用该IE临时缓存区的信息进行攻击和信息窃取等恶意行为。

n 该病毒已经可以被趋势查杀，可以通过OSCE，闪电杀毒手检测并清理。