1. Win32.Troj.FakeFolderT.yl.1407388(文件夾模仿者)
展開描述: 模仿文件夾圖標(biāo)�,欺騙用戶點擊
卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-
Dropper.Win32.Flystud.ko��、
瑞星命名: Trojan.Win32.ECode.ee
、orm.Win32.Agent.aaq
NOD32命名: virus.Win32.Small.L�����、
Worm.Win32.AutoRun.FlyStudio.GS
麥咖啡命名: W32.Madangel.b virus��、W32.Fujacks.aw virus
此毒將自己的圖標(biāo)偽裝成系統(tǒng)文件夾的樣子��,用戶在U盤中看到一個陌生文件夾時�,多半都會去點擊。如此一來���,即使用戶禁止了U盤自動播放��,該毒依然能夠?qū)崿F(xiàn)運行��。運行后���,此毒會下載一些別的惡意程序����,執(zhí)行多種破壞行為���。
此外����,有一些腳本掛馬也會幫助該毒傳播���,一旦它們利用系統(tǒng)安全漏洞攻入電腦���,就會立即下載包括"文件夾模仿者"在內(nèi)的其它惡意程序。
根據(jù)變種的不同����,此毒會呈現(xiàn)多種癥狀,其中比較明顯的一種����,是用戶系統(tǒng)中的文件夾全部變?yōu)椴《镜腅XE文件���,用戶必須點擊病毒文件才可進(jìn)入文件夾��。這使得病毒得以多次運行����,如果該變種所攜帶的執(zhí)行模塊是廣告插件,那么就會盡可能多的彈出廣告網(wǎng)頁���。
阻止此毒進(jìn)入系統(tǒng)的最佳辦法���,是打齊系統(tǒng)補(bǔ)丁并安裝金山安全實驗室的"網(wǎng)盾",該工具目前由數(shù)十萬人參與測試�����,穩(wěn)定性不斷增強(qiáng)���,可100%攔截包括0day漏洞在內(nèi)的所有漏洞利用代碼��,粉碎黑客的掛馬攻擊意圖���。
網(wǎng)盾下載地址 http://labs.duba.net/wd.shtml
2. Win32.troj.addownload.ef.26184 (非法插件安裝器)
展開描述:擅自安裝插件����,傳播流氓軟件
"非法插件安裝器"(win32.troj.addownload.ef.26184)在整個四月里�����,感染量始終在緩慢攀升�。總的感染量超過359萬臺次�。此毒是一個專門幫助流氓軟件進(jìn)入用戶電腦安裝的下載器。它借助一些腳本木馬的幫助���,或者捆綁于其它程序�����,入侵用戶電腦�����。
一旦入侵成功�,就會下載一個文件名為kxsosetup.exe的瀏覽器插件����,并將其強(qiáng)行安裝到用戶電腦中�����,隨后就不時彈出廣告窗口�����,十分煩人。
如發(fā)現(xiàn)電腦中混入這個kxsosetup.exe插件�,使用金山清理專家的"惡意軟件查殺"功能即可將其清除。如果遭遇特別頑固的變種����,那么也可以借助清理專家"安全百寶箱"中的"文件粉碎機(jī)"功能將其粉碎。
3. Win32.troj.gaopsget.49893(高頻下載器)
展開描述: 頻繁下載惡意軟件 占用系統(tǒng)資源
卡巴命名: Trojan-Dropper.Win32.Microjoin.ap
瑞星命名: Dropper.Agent.naq
NOD32命名: Trojan.Win32.TrojanDropper.MultiJoiner.13.B
麥咖啡命名: MultiDropper-MR trojan
"高頻下載器"(win32.troj.gaopsget.49893)這款木馬下載器在四月中旬時開始成為我們關(guān)注的焦點���,此后的幾天里�����,它的感染量一直緩慢上升����,在四月的總感染量接近300萬臺次。
這是一個木馬下載器�����。當(dāng)它將自己的文件釋放到系統(tǒng)臨時目錄后��,就會開始下載大量的木馬程序�����,其中大部分為網(wǎng)游盜號木馬����。只要不被刪除,它在每次開機(jī)后都會執(zhí)行一次下載���,嚴(yán)重占用系統(tǒng)資源�����。
如果用戶在自己電腦中發(fā)現(xiàn)有此毒的查殺報告�����,說明系統(tǒng)中存在某些安全漏洞��,請盡快用清理專家打齊補(bǔ)丁���,并清空系統(tǒng)緩存���。
如果這樣仍然不斷報告說發(fā)現(xiàn)此毒,那么則表明將該毒引入您電腦的腳本木馬���,利用的是某種未知漏洞�����。這種情況下,下載"網(wǎng)盾"安裝��,即可堵住這些未知漏洞��。
4. Win32.troj.sysjunk2.ak.196608 (干擾彈AK)
展開描述:干擾反病毒工作者�,阻止查殺
瑞星命名::RootKit.Win32.Undef.bzl
面對殺毒軟件的圍追堵截,病毒作者從來都不會愿意束手就擒�����,他們采用各種方法進(jìn)行對抗�����。其中"加花指令"就是他們常用的一種手段。
"干擾彈AK"(win32.troj.sysjunk2.ak.196608)��,就是個"加花指令"��。這種病毒文件本身不會對系統(tǒng)有任何危害����,但里面包含有大量的垃圾數(shù)據(jù),病毒作者希望以此來干擾反病毒人員的分析工作�。如果殺毒軟件廠商的反
病毒工程師技術(shù)不強(qiáng),就有可能無法處理此毒���。
此外����,通過對此毒分析�,金山毒霸反病毒工程師發(fā)現(xiàn),此毒在進(jìn)入系統(tǒng)后會與病毒其它文件一起隨機(jī)藏匿在一些比較深的目錄中�。如果用戶發(fā)現(xiàn)電腦上出現(xiàn)此毒,建議進(jìn)行全盤查殺����,揪出它隱藏的"同伙"����。
同時�����,下載安裝金山安全實驗室的"網(wǎng)盾"�,封鎖此毒借助腳本下載器進(jìn)入電腦的通道。
網(wǎng)盾下載地址http://labs.duba.net/wd.shtml
5. Win32.vbt.hl.84701 (無公害感染源)
展開描述:
卡巴命名:Virus.Win32.VB.bu
瑞星命名:Trojan.PSW.SBoy.a
NOD32命名:virus.Win32.Sality.NAC
麥咖啡命名:PWS-LegMir trojan
"無公害感染源"(win32.vbt.hl.84701)在過去的兩個月���,一直是感染量排行榜中的?���??。在4月份�����,它的感染總量繼續(xù)上升����,達(dá)到220萬臺次,這個數(shù)字比3月份時多出20萬�。
該毒本身沒有任何破壞能力�,它只是單純的感染用戶電腦中的EXE文件�����,也不會干擾被感染文件的正常運行�。
但是,該毒現(xiàn)在的版本中增加了一些用于與其它模塊相連接的接口�,這使得它能夠幫助那些具有惡意行為的病毒模塊進(jìn)行傳播。至于它們"合體"后會有哪些危害�����,則要看木馬執(zhí)行模塊的功能如何安排��,不同的變種可能具有不同的功能�����。
此毒傳播的方式多樣���,既借助網(wǎng)頁掛馬傳播�,又借助U盤傳播���,部分樣本還與別的正常程序捆綁在一起����,通過用戶的下載混進(jìn)電腦。
6. Win32.trojdownloader.delf.td.145840(寶馬下載器變種)
展開描述:變種數(shù)量大�����,頻繁免殺����,下載惡意程序
卡巴命名: Trojan-Dropper.Win32.Agent.alqf
瑞星命名: Trojan.PSW.Win32.GameOL.xiw
NOD32命名: Trojan.Win32.Agent.PDQ
毫無疑問,寶馬下載器是整個四月里��,傳播范圍最廣的惡意程序�����。它的變種數(shù)量很大�����,每逢重要節(jié)假日����,病毒作者都會"加班"推出一批新變種。
win32.trojdownloader.delf.td.145840這個變種��,在清明期間開始爆發(fā)�,并成為四月感染量較大的病毒之一。
該毒具備有對抗殺毒軟件的能力�����,會采用多種方式嘗試中止殺軟進(jìn)程或禁止殺軟的服務(wù)����,甚至還會釋放出一個驅(qū)動來用于穿透系統(tǒng)還原保護(hù)和某些殺軟的"主動防御"。
毒霸可攔截該毒和它所下載的盜號木馬����,如果發(fā)現(xiàn)自己電腦上頻繁出現(xiàn)此毒,并非該毒"殺不掉"���,而是表明有別的未知下載器不斷的將其"復(fù)活"�����,這種情況�,只需下載安裝金山安全實驗室的"系統(tǒng)急救箱"���,就可解決問題���。
"系統(tǒng)急救箱"下載地址http://labs.duba.net/jjx.shtml�,下載前請閱讀說明��。
7. Win32.troj.encodeie.ao.524288 (傳奇盜號下載器AO)
展開描述:盜竊網(wǎng)游帳號����,非法轉(zhuǎn)移虛擬財產(chǎn)
卡巴命名:Trojan.Win32.BHO.nng
瑞星命名:RootKit.Win32.Agent.etj
"傳奇盜號下載器AO"(win32.troj.encodeie.ao.524288)在三月份時,就已被收錄到當(dāng)期的安全月報中��。然而在四月��,此毒依然猖獗�。
通過不斷更新變種和借助掛馬推廣,該毒始終保持著較高的感染量�����。毒霸反病毒工程師對其分析后發(fā)現(xiàn)����,它可以下載許多別的木馬到用戶電腦中運行,但其自身也具有盜號功能��,根據(jù)變種的不同��,可以利用內(nèi)存注入�、鍵盤記錄、消息截獲等多種手段盜取《傳奇》的帳號�。
同時,根據(jù)變種不同�,該毒也能盜取其它游戲的賬號密碼信息。
使用"系統(tǒng)清理專家"打齊系統(tǒng)補(bǔ)丁是免受此毒騷擾的最簡單辦法���。
8. Win32.troj.delf.ks.73728 (U盤感染蟲變種)
展開描述: 借助U盤傳播��,危害局域網(wǎng)
卡巴命名:Trojan-Downloader.Win32.Agent.bprr
瑞星命名: Worm.Win32.NSDownloader.au
NOD32命名: Trojan.Win32.TrojanDownloader.Agent.OMQ
麥咖啡命名: Downloader-BNM Trojan
Win32.troj.delf.ks.73728是個普通的U盤病毒���,能通過釋放AUTO文件在U盤等移動存儲設(shè)備與電腦之間自由復(fù)制感染。此毒進(jìn)入系統(tǒng)后的行為多變�,根據(jù)變種的不同,可執(zhí)行下載木馬��、遠(yuǎn)程控制�、彈廣告等多種破壞。這些都是比較傳統(tǒng)的U盤病毒的特征����。
之所以擁有較大的感染量�����,毒霸安全專家認(rèn)為可能是有網(wǎng)頁掛馬在為此毒做推廣�,而該毒借助U盤在辦公室局域網(wǎng)之間的傳播����,也很可能是它感染量較大的原因之一。
9. Win32.troj.killav.ec.118784(寶馬下載器變種)
展開描述:變種數(shù)量大���,頻繁免殺����,下載惡意程序
卡巴命名:Trojan-
Downloader.Win32.Geral.aj,HEUR.Trojan.Win32.AntiAV
瑞星命名: Trojan.Win32.KillAV.azz
,
Dropper.Win32.AntiAV.f
NOD32命名: Trojan.Win32.TrojanDownloader.Agent.OZY
win32.trojdownloader.delf.td.145840也是寶馬下載器的一個變種��。
該毒在對抗安全軟件���、下載惡意程序���、威脅系統(tǒng)安全方面,與上面已經(jīng)提到的win32.trojdownloader.delf.td.145840完全一致���。
毒霸可攔截該毒和它所下載的盜號木馬�,如果發(fā)現(xiàn)自己電腦上頻繁出現(xiàn)此毒,并非該毒"殺不掉"�,而是表明有別的未知下載器不斷的將其"復(fù)活",這種情況��,只需下載安裝金山安全實驗室的"系統(tǒng)急救箱"�����,就可解決問題���。
"系統(tǒng)急救箱"下載地址http://labs.duba.net/jjx.shtml,下載前請閱讀說明��。
10. Win32.trojdownloader.mnless.16384(對抗型下載器)
展開描述:對抗安全軟件���,下載惡意程序
卡巴命名:Trojan-Downloader.Win32.Agent.bqsm,
Rootkit.Win32.Agent.fia
瑞星命名:Trojan.DL.Win32.Mnless.csg
,
RootKit.Win32.Agent.ehy
NOD32命名:Trojan.Win32.Agent.ONG,
Worm.Win32.AutoRun.Agent.EU
此毒的行為基本與寶馬下載器一致�����,不過它們并不是同一類東西�����。這反映出了黑客們的技術(shù)共享有多么"融洽"��,不同的病毒作者可以共享同一種病毒技術(shù)�����。
對付該毒不需要什么特別的辦法�,打齊系統(tǒng)補(bǔ)丁�、安裝網(wǎng)盾之類的防掛馬工具即可。
本月重大漏洞介紹
在4月�����,微軟更新了MS09-014漏洞補(bǔ)?���。▽?yīng)補(bǔ)丁編號為KB963027),用于替換之前的MS09-002和MS08-078兩個高危漏洞補(bǔ)丁�����,用戶修補(bǔ)了MS09-014后可以不再修補(bǔ)另兩個漏洞�����。
這種使用新補(bǔ)丁替換舊補(bǔ)丁的情況����,被稱為"累積性的安全更新"���,也就是說,同一個漏洞問題��,如果之前推出的補(bǔ)丁沒能徹底解決�����,那么就出一個新的補(bǔ)丁再次升級����,希望新的補(bǔ)丁可以解決此問題����。從微軟的這次更新我們可以看出,MS09-002和MS08-07依然是非常重要的漏洞�。
事實上,自從爆出后���,MS09-002和MS08-07就一直是深受腳本木馬作者歡迎的漏洞���,在金山毒霸所截獲的腳本木馬中�����,有相當(dāng)數(shù)量都含有這兩個漏洞利用腳本���。從理論上說,只要用戶按時升級�,就可以堵住這兩個漏洞,但是�����,出于各種復(fù)雜的原因��,還是有不少用戶的電腦存在這上述漏洞����。
金山毒霸的清理專家模塊具有自動監(jiān)測系統(tǒng)漏洞補(bǔ)丁升級的功能,一旦微軟推出新的安全補(bǔ)丁��,就會在第一時間為用戶自動安裝�����。因此毒霸用戶不必?fù)?dān)心系統(tǒng)安全。對于非毒霸用戶�����,我們則建議下載安裝金山安全實驗室的網(wǎng)頁防掛馬工具"網(wǎng)盾"��,對潛在的漏洞建立攔截���,阻止腳本木馬通過網(wǎng)頁掛馬進(jìn)入電腦��。下載地址 http://labs.duba.net/wd.shtml
