冠群金辰7月第2周報告:Directshow漏洞一枝獨秀
【51CTO.com 綜合消息】總體病毒狀況繼續保持前一周相對平靜的勢態,未發現嚴重危害的新型病毒。本周總體病毒樣本捕獲數量與上周相比基本持平,新病毒及變體種類有所下降。
微軟Directshow 0day漏洞已經公布一周,利用此漏洞的掛馬網站有所增加,但并未大量出現針對的新型病毒。7月14日微軟的本月安全公告中的補丁可能會解決這個高危害漏洞,請廣大用戶注意及時安裝!
本周關注的病毒家族:
病毒名稱:Win32.FakeAV Family
病毒別稱:
Downloader.Win32.Agent (Kaspersky), FakeAlert (McAfee), Trojan.Desktophijack (Symantec), Troj/FakeAV (Sophos), Trojan.Fakeavalert (Symantec), TrojanDownloader:Win32/FakeRean (MS OneCare), Troj/FakeVir (Sophos), TROJ_PAKES (Trend), VirusRemover2008 (Symantec), TrojanDownloader:Win32/Renos (MS OneCare), TROJ_RENOS (Trend), TROJ_SMALL (Trend), FraudTool.Win32.VirusRemover (Kaspersky), FraudTool.Win32.XPAntivirus (Kaspersky)
病毒屬性:蠕蟲病毒
危害性:中等危害
流行程度:中
病毒特性:
Win32/FakeAV是一種偽裝成合法的反病毒和反間諜軟件的特洛伊木馬,它提示用戶有虛假警告,彈出信息,并偽造掃描結果,它還會下載其它的惡意軟件。此家族的變體較多,近期流行范圍較廣。
感染方式:
通常Win32/FakeAV變體由Win32/FakeAlert和Win32/Bugnraw兩種病毒變體下載到系統中。
該木馬會偽裝成以下產品名稱的安全軟件:
Advanced Antivirus、Advanced Cleaner、
AdwareRemover2007、AntiMalwareGuard、
Antivirus 2008、Antivirus 2009、Antivirus 2008 XP
Antivirus Lab 2009、Antivirus Pro、Antivirus XP 2008
Antivirus XP 2009、Awola Anti-Spyware、BraveSentry
DrAntispy、DriveCleaner、MalwareAlarm
MalwareMonitor、MS AV、SecureExpertCleaner
Smart Antivirus 2009、SpyShredder、System Doctor
VirusRemover2008、Virus Response Lab 2009、WinSpywareProtect
WinXProtector、XP Cleaner、XP Guard
Win32/FakeAV木馬程序可能使用以下圖標:
 |
| 圖1 |
執行時, Win32/FakeAV變體在開始菜單和桌面加載快捷方式:
 |
| 圖2 |
危害:
下載其它的惡意軟件
Win32/FakeAV變體連接到以下任意域下載并運行其它惡意軟件:
antivirus-database.com
do-fixed-progress.com
…
xpantivirus.com
xpantiviruspro.com
xpas-2009.com
xpas2009.com
顯示虛假警告
Win32/FakeAV變體顯示各種虛假的Windows 安全中心和Windows安全警告,誘騙用戶使用和購買假的防病毒程序:
 |
| 圖3 |
該木馬假裝掃描系統,并顯示虛假的感染報告,用這個手段來嚇唬用戶購買這個假的殺毒軟件:(以下為不同幾個變體的抓圖)
 |
| 圖4 |
 |
| 圖5 |
以下是Win32/FakeAV變體顯示的一些對話框和信息:
 |
| 圖6 |
 |
| 圖7 |
本周常見較活躍病毒列表及變體數量:其他近期新病毒的資料可參考:
 |
| 表1 |
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建議:
1、對于個人PC,重要的系統補丁應及時安裝;對于企業用戶,應加強補丁管理意識,尤其對服務器等重要系統應盡早安裝;
2、不訪問有害信息網站,不隨意下載/安裝可疑插件,并檢查IE的安全級別是否被修改;
3、使用KILL時注意及時升級到最新的病毒庫版本,并保持時時監視程序處于開啟狀態;
4、不要隨意執行未知的程序文件;
5、合理的配置系統的資源管理器(比如顯示隱含文件、顯示文件擴展名),以便能夠更快地發現異常現象,防止被病毒程序利用;
