冠群金辰每周病毒播报(2009.06.14

  • 时间:
  • 浏览:0
  • 来源:5分快3网投平台-5分快乐8投注平台_5分排列3娱乐平台





作者: CNET科技资讯网

CNETNews.com.cn

1009-06-24 12:08:41

关键词: 冠群金辰 病毒播报

“复合型”蠕虫来袭

  据冠群金辰全球反病毒检测网络报告,本周的总体病毒清况 依然保持前一周比较平静的势态,未发现具有严重危害的新型病毒。从本周收集病毒种类来看,数量较多的几种盗号家族在变体数量上有较大减少,以往变体较多的有几条盗号木马/下载器家族,在本周捕获的变体数量减少统统。但本周的邮件类病毒有增加趋势,新再次出现了几种富含群发邮件功能的蠕虫。

  本周关注病毒

  病毒名称:Win32.Mytob.PA(一点名称:TrojanDropper:Win32/VB.AV (MS OneCare))

  病毒属性:蠕虫病毒

  危害性:中等危害

  病毒社会形态:Win32/Mytob.PA是一种通过电子邮件传播的蠕虫病毒,但会 一块儿可通过U盘进行传播。它还禁用一点安全软件,并下载其它的恶意多多线程 ,是一种复合型病毒。

  该病毒的感染方法:当病毒文件被执行后,它会进行群克隆,在系统注册表启动项中打上去,以便系统启动时被执行,但会 在系统服务中加入名称为“DHCP System Application”的服务。

  该病毒主要传播方法:

  1、通过电子邮件传播。

  Win32/Mytob.PA通过邮件进行传播,病毒附打上去邮件的附件中,并使用自带的SMTP引擎进行发送。病毒通过Windows Address Book (WAB)收集目标邮件地址,并在富含以下扩展名的文件中搜索邮件地址:。asp、。cgi、。htm、。html、。jsp、。shtml、。txt、。xml。

  该蠕虫发送的电子邮件有以下特点:寄件人地址随机生成,其中可能是以下任意一一个多 多:Ayiana、Sruti、Subhadra、Subhaga、Subhangi、Yogita、Zankhana、Zarna……

  其域名可能是以下任意一一个多 多:aol.com、freemail.com、gmail.com、hotmail.com、mail.com、msn.com。

  同类,发件人的地址可能显示为Tusti@msn.com 。

  病毒发送的邮件正文包括以下内容:

  Dear :

  fakedegrees is now the only site that provides you with an On-line Certificate Creator. With our exclusive tools and the partnership with one of the best online degree and diploma merchants we can provide our members with the largest range of novelty university degrees, college diplomas and high school certificates that you can preview online.

  Open attachment to view contact method and Certificate of photos.

  Thanks:)

  该病毒发送的垃圾邮件的附件使用以下图标,主要目的是诱骗用户相信该附件是一一个多 多压缩文件。

  2、通过驱动器传播。

  蠕虫Win32/Mytob.PA将自动搜索所有可利用的移动驱动器和固定驱动器,生成"Autorun.inf"文件,以确保下一次访问驱动器的就让自动运行病毒文件。

  该病毒的主要危害如下:

  1、使安全软件失效。

  Win32/Mytob.PA能使被感染机器上与安全相关的软件失效,从而降低被感染机器的安全性,并对多种安全软件进行“镜像劫持”。

  2、修改Hosts文件。

  Hosts文件富含IP地址和主机名的映射,Windows在查询DNS就让必须查找Hosts文件。在Windows XP、100、NT系统中Hosts 文件发生%System%driversetchosts;在Windows 9x系统中,Hosts文件发生%Windows%hosts。Mytob.PA修改hosts文件,将以下一点URL改变为localhost,有效的阻止用户访问哪有几条站点:127.0.0.1 avp.com、127.0.0.1 ca.com、127.0.0.1 customer.symantec.com……

  3、盗窃敏感信息。

  该蠕虫病毒试图窃取网络游戏魔兽世界(WOW)的有关信息。它在%Program Files%World of WarcraftDataenGB 中搜索WOW的配置文件“realmlist.wtf”。但会 使用Activer服务器http://kexp.org/emailforms/email_action.asp发送内容。

安全防范建议

  1、对于买车人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;

  2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是不是被修改;

  3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视多多线程 发生开启清况 ;

  4、无须随意执行未知的多多线程 文件;

  5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能能更快地发现异常疑问,处理被病毒多多线程 利用。