卡  巴  斯  基  中  国  地  区  每  周  病  毒  报  告

 

2009年6月8日至2009年6月14日

 

排名 病毒名称 病毒类型 周爆发率
1. HEUR:Trojan.Win32.Generic 木马 14.04
2. Trojan-Downloader.Win32.Agent.cdam 木马 10.19
3. Trojan-Downloader.Win32.Geral.zf 木马 6.25
4. Trojan-GameThief.Win32.Magania.bfdq 木马 4.21
5. not-a-virus:AdWare.Win32.Agent.nnu 广告软件 3.07
6. Trojan-GameThief.Win32.Magania.bfru 木马 3.03
7. Heur.Win32.Trojan.Generic 木马 2.97
8. not-a-virus:AdWare.Win32.BHO.gtq 广告软件 2.88
9. Trojan-GameThief.Win32.Magania.bful 木马 2.60
10. Trojan.Win32.Agent.bsmy 木马 2.32

 

关注恶意软件:

  • 恶意软件名称: DLL后门木马(Trojan.Win32.Agent.bsmy)

  • 恶意软件类型:木马

  • 长度:683412字节

  • 影响的平台:WIN9X/ME/NT/2000/XP/2003/VISTA

DLL后门木马具体行为:

        该木马采用Delphi语言编写,未加壳,但拥有伪造的数字签名,其资源中包含DLL文件。
它通常利用网页挂马的形式感染用户计算机,并且变种数量多达390多种。 其感染系统后,
会释放随机名称的DLL文件到C:\windows\system32\ 下,并创建下列注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost .Net CLR
hex(7):2e,4e,65,74,20,43,4c,52,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR Type dword:00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR Start dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR ErrorControl dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR ImagePath
hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,73,76,63,68,6f,
73,74,2e,65,78,65,20,2d,6b,20,22,2e,4e,65,74,20,43,4c,52,22,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR DisplayName "Microsoft
.Net Framework COM+ Support"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR Description "Microsoft .NET
and Windows XP COM+ Integration with SOAP"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR FailureActions
hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,88,13,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR\Parameters ServiceDll
hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,31,37,38,61,63,32,39,2e,64,6c,6c,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR\Security Security
hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,
14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,
fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,
20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,
00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,
00,01,01,00,00,00,00,00,05,12,00,00,00, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR\Enum 0 "Root\LEGACY_.NET_CLR\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR\Enum Count dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR\Enum NextInstance dword:00000001

        释放DLL后,此木马会调用其中导出的Install函数。此DLL的Install函数会使用%%SystemRoot%%\\System32\\svchost.exe -k 将此DLL作为服务加载。

        此DLL文件作为服务运行后会在3010端口与IP地址为221.194.44.xxx的计算机建立TCP连接,经查,此计算机通过保定市阜平县网通联网。 连接建立后,远程的黑客即可监视用户的桌面、文件、鼠标、键盘、剪帖板等操作。

        卡巴斯基安全软件已经可以查杀该木马,建议您尽快安装卡巴斯基安全软件并将病毒库升级到最新,以免感染给您造成不必要的损失和麻烦。

专家预防建议:

  • 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。

  • 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

  • 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。

  • 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

  • 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。

  • 6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。

  • 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。