下表中所列数据根据卡巴斯基实验室反病毒产品监测数据统计得出。
互联网恶意软件排名
| 排名 |
恶意软件名称 |
感染率 |
排名变化 |
| 1. |
Trojan-Dropper.Win32.Agent.ayqa |
15.34 |
+2 |
| 2. |
Trojan-GameThief.Win32.Magania.bwsr |
13.56 |
+2 |
| 3. |
Trojan-GameThief.Win32.Magania.biht |
8.71 |
-1 |
| 4. |
HEUR:Trojan.Win32.Generic |
5.97 |
-3 |
| 5. |
Trojan-GameThief.Win32.OnLineGames.bmtc |
3.74 |
新 |
| 6. |
Trojan-GameThief.Win32.Magania.bxxp |
2.82 |
+13 |
| 7. |
Trojan-GameThief.Win32.Magania.bwyr |
2.75 |
+8 |
| 8. |
Trojan-GameThief.Win32.Magania.bkii |
2.59 |
-3 |
| 9. |
Trojan-GameThief.Win32.Magania.bwxz |
2.50 |
-2 |
| 10. |
Trojan.Win32.Pakes.lmb |
2.47 |
-2 |
| 11. |
Trojan-GameThief.Win32.Magania.bwsi |
2.07 |
0 |
| 12. |
HEUR:Backdoor.Win32.Generic |
1.88 |
+2 |
| 13. |
HEUR:Trojan.Win32.StartPage |
1.74 |
-3 |
| 14. |
Trojan-GameThief.Win32.Magania.cbws |
1.21 |
新 |
| 15. |
Trojan-Downloader.Win32.Agent.cmhe |
0.93 |
新 |
| 16. |
Trojan.Win32.Vilsel.gpc |
0.90 |
新 |
| 17. |
MultiPacked.Multi.Generic |
0.82 |
-4 |
| 18. |
HEUR:Trojan-Downloader.Win32.Generic |
0.78 |
新 |
| 19. |
Trojan.Win32.Pakes.lly |
0.74 |
-2 |
| 20. |
Trojan-PSW.Win32.QQPass.msm |
0.72 |
新 |
| 其他恶意软件 |
15.71 |
注:上表中标注“新”的恶意软件,指的是上月未排入前20名的恶意软件。
可以看到,10月继续维持上个月的恶意软件分布和传播趋势。在排名前20的恶意软件排行榜中,网游盗号木马占绝对统治地位。
毫无疑问,Trojan-GameThief.Win32.Magania家族的盗号木马是本月最值得关注的恶意软件。该家族的恶意软件占据了排行榜上8个位置,并且占全部恶意软件的36.21%。尽管我们已经深知此类恶意软件感染率很高,但现在他们已经打破了感染率最高纪录,这一点还是令人感到吃惊。我们曾经介绍和描述过此类恶意程序的行为,主要是窃取用户的各种信息,例如网络游戏的登录名和密码等。但其功能并不局限于此,他们还会窃取计算机用户的即时通讯工具信息、软件序列号等信息。再将这些窃取到的信息卖还给失主或销售给其他买家。这也恰恰证明了当今的网络犯罪已经发展成一门产业,编写恶意软件的目的最终是为了获利。
我们在以往的报告中多次提到,几乎所有类型的恶意软件之间都会协同工作。排行榜中排名第一的恶意软件就是一个很好的例子。
本月排名第一的恶意软件为Trojan-Dropper.Win32.Agent.ayqa,它占所有恶意软件的15.34%。从名称上我们也可以轻易判断出此恶意软件会释放或下载其他恶意程序到受感染计算机。那么它释放或下载的恶意软件是什么呢?答案很简单,当然是大名鼎鼎的Trojan-GameThief.Win32.Magania家族盗号木马。不仅如此,本月新上榜的Trojan.Win32.Vilsel.gpc木马同Magania家族木马关系也非常密切。Vilsel木马感染计算机后同样会下载其他恶意软件到本机,而这些被下载的恶意软件中就包括一些Magania木马变种。
为了增强本报告的实用性,我们分析了本月排行榜第一位的恶意软件的感染行为,并提供了该恶意软件的手动清除方法。详见下文:
Trojan-Dropper.Win32.Agent.ayqa木马感染后的行为:
首先,在受感染计算机上创建%System%\BbXhGSfTsBbxT83aR.dll。卡巴斯基反病毒软件对该文件进行扫描后,判断其为Trojan-GameThief.Win32.Magania.bpim. 此木马DLL文件的属性会被自动更改为“隐藏属性”,使得用户不易察觉。
木马还会创建以下注册表项:
HKCR\CLSID\{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}\InprocServer32]
"(default)" = "%Program Files%\Internet Explorer\DoboMako.lsp "
"ThreadingModel" = "Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}
然后,木马会释放%WinDir%\Fonts\FRSUApxKxh4aqhh4TnMqpe.Ttf文件到计算机。该文件包含一些进程名称以及这些进程的MD5 Hash值。然后木马查找系统中运行的进程,同Tft文件中所列的进程名和MD5 Hash值进行比对,并调用JUFndB4pARSJ功能将匹配的进程终止。
最后,将上述木马DLL注入到系统中运行的所有进程中。
如何手动删除此木马:
如果您的计算机感染了上述木马,并且没有安装反病毒软件,请按照以下步骤进行操作:
1. 使用任务管理器终止恶意进程
2. 删除原始恶意文件
3. 删除以下文件:
System%\BbXhGSfTsBbxT83aR.dll
%WinDir%\Fonts\FRSUApxKxh4aqhh4TnMqpe.Ttf
4. 删除下列注册表项:
[HKCR\CLSID\{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}\InprocServer32]
"(default)" = "%Program Files%\Internet Explorer\DoboMako.lsp "
"ThreadingModel" = "Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}
5. 最后,安装反病毒软件,并将数据库更新,对系统进行扫描。
总结
本月上榜的各种Magania家族盗号木马变种中,只有Trojan-GameThief.Win32.Magania.cbws是第一次登上榜单。其他的变种在上月排行榜中均出现过。这不得不让人们觉得此家族恶意软件的传播比较成功和有效。尽管卡巴斯基实验室的反病毒产品能够检测和查杀此类恶意软件,但很可能不少计算机用户本身并不安装和使用反病毒软件。是否选择安全产品,最终还是取决于用户自身。但如果您担心自己的个人数据被窃,请及时安装反病毒软件并及时更新反病毒数据库。
2009年10月27日 |
