冠群金辰6月第2周報告:多種游戲木馬盜取信息
【51CTO.com 綜合消息】總體病毒狀況依然保持前一周比較平靜的勢態,未發現嚴重危害的新型病毒。從本周收集病毒特征來看,數量較多的幾種盜號家族變體數量有所減少。數量最多最常見的仍然是近期的幾個家族:Win32/GamePass家族(14種變體),Win32.Ttfon(16種變體),Win32.Wowpa(14種變體)主要以掛馬形式傳播,針對當前多種流行游戲,盜取信息。
本周二,微軟發布了今年規模最大的一次補丁更新。從MS09-018至MS09-027共10多個安全補充程序,修正31個安全漏洞。其中最嚴重的的安全補充程序是MS09-019,修補了IE中的8個漏洞,涉及到全部IE版本:IE5、IE6、IE7及最新的IE8。在此提醒請廣大用戶注意及時查漏、補漏!
本周關注的新病毒:
病毒名稱:Win32.FakeAlert.MX
其它名稱:Clbd LB (CA Anti-Spyware), TrojanDropper:Win32/Alureon.J (MS OneCare), Rootkit.Win32.Clbd.lb (Kaspersky), Backdoor.Tidserv (Symantec)
病毒屬性:特洛伊木馬
危害性:中等危害
流行程度:中
病毒特性:
Win32/FakeAlert.MX 是近期流行較廣的FakeAlert家族的新變體。它屬于一種下載類木馬病毒,能夠阻止某些安全網站,并將用戶的搜索查詢指向惡意網站。
感染方式:
病毒文件被執行后,Win32/FakeAlert.MX 生成以下注冊表鍵值:
HKLM\software\tdss\injector\* = "TDSSl.dll" |
然后將此DLL注入到以下系統進程中:
services.exe winlogon.exe lsass.exe svchost.exe |
如果DLL已經注入到"svchost.exe"中,FakeAlert就會查找命令行參數是否存在"avp.exe" 和 "avgexfs.exe" 字符串。
危害:
下載并運行任意文件
Win32/FakeAlert.MX 連接以下域,用來上報給它的控制者,還會下載其它的特洛伊病毒。
78.157.142.26/windowsupdate/ backupservice1.net compalusa.com compalusax.com domainpub.info domainspubs.com … updatemics.com updatemics1.com |
阻止網站
Win32/FakeAlert.MX 監控Internet,阻止訪問以下域,其中很多與安全相關:
247fixes.com abuse.com abuse.net acens.net agnitum.com ahbl.org andymanchesta.com antiphishing.org antispywareoffensief.nl arcabit.com armor2net.com atribune.org atwola.com auditmypc.com aumha.org avast avg.com avira.com avp.ch avp.com avp.ru bdbrandprotect.com besttechie.net beyondlogic.org bfccomputers.com bitdefender bl.csma.biz bleepingcomputer.com bluemedicine.be … 包含大量安全網站URL,此處省略。 zonealarm.com zonelabs zonelabs.com |
監視搜索引擎,改變搜索結果:
特洛伊監控以下網站的訪問:
go.aol.com go.google.com go.live.com go.msn.com go.yahoo.com go1.aol.com go1.google.com go1.live.com go1.msn.com go1.yahoo.com go2.aol.com go2.google.com go2.live.com go2.msn.com go2.yahoo.com go3.aol.com go3.google.com go3.live.com go3.msn.com go3.yahoo.com |
將它們的搜索結果改為其他惡意網址。
其他近期新病毒的資料可參考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建議:
1、對于個人PC,重要的系統補丁應及時安裝;對于企業用戶,應加強補丁管理意識,尤其對服務器等重要系統應盡早安裝;
2、不訪問有害信息網站,不隨意下載/安裝可疑插件,并檢查IE的安全級別是否被修改;
3、使用KILL時注意及時升級到最新的病毒庫版本,并保持時時監視程序處于開啟狀態;
4、不要隨意執行未知的程序文件;
5、合理的配置系統的資源管理器(比如顯示隱含文件、顯示文件擴展名),以便能夠更快地發現異常現象,防止被病毒程序利用;
