卡  巴  斯  基  中  国  地  区  每  周  病  毒  报  告

 

2009年6月29日至2009年7月5日

 

排名 病毒名称 病毒类型 周爆发率(%)
1. HEUR:Trojan.Win32.Generic 木马 19.19
2. Trojan-Dropper.Win32.Mudrop.auc 木马 6.99
3. Trojan-GameThief.Win32.Magania.biht 木马 6.07
4. not-a-virus:AdWare.Win32.BHO.gtq 广告软件 4.61
5. not-a-virus:AdWare.Win32.Agent.nnu 广告软件 4.28
6. Trojan-Dropper.Win32.Mudrop.atc 木马 4.24
7. Worm.Win32.AutoRun.afcb 蠕虫 3.11
8. Trojan.Win32.Pakes.nkm 木马 2.98
9. Trojan-Downloader.Win32.Geral.ady 木马 2.85
10. Trojan-Dropper.Win32.Mudrop.aui 木马 2.60

 

关注恶意软件:

  • 恶意软件名称:百变蠕虫(Worm.Win32.AutoRun.afcb)

  • 恶意软件类型:蠕虫

  • 长度:59536字节

  • 加壳方式:双层Upack

  • 影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista

“百变蠕虫”具体表现:

        该蠕虫采用Delphi编写,已发现的变种高达700种以上。该蠕虫一般通过网页挂马或可移动存储设备感染用户计算机。该恶意软件兼具蠕虫的传播性以及木马的危害性,危险程度极高。被感染后,它会在计算机磁盘上创建以下文件:

        C:\Documents and Settings\All Users\ming9df16.ini C:\Documents and Settings\All Users\ming9df32.ini C:\WINDOWS\system\ming9b090423.exe C:\WINDOWS\system\nb9ming32c090423.dll

        同时创建下列注册表项:

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run ming9bstart "C:\WINDOWS\system\ming9b090423.exe" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Check_Associations "no" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings EnableAutodial dword:00000000

        并修改下列注册表项:

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000001 dword:00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections SavedLegacySettings hex:3c,00,00,00,03,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00, hex:3c,00,00,00,04,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,d0,dd,0f,cf,f9,12,c9,01,01,00,00,00,c0,a8,03,66,00,00,00,00,00,00,00,00,

        不仅如此,它还会修改受感染计算机的hosts文件,添加以下文字:

        0.173.10.4 www.qv0d996.cn

        ming9df16.ini 和 ming9df32.ini 为木马配置信息文件,内容如下:

        ming9df16.ini: [mydown] old_exe= old_dll32= ver=090423 fn_exe=C:\WINDOWS\system\ming9b090423.exe startreg=ming9bstart fn_dll=C:\WINDOWS\system\nb9ming32c090423.dll [run] delay=0 pzjg=240 xxjg=60 ming9df32.ini: [sys] install=20090706

        该蠕虫会启动IE并向其中注入nb9ming32c090423.dll。nb9ming32c090423.dll运行后会创建映像劫持注册表项,劫持大量安全软件,使之无法运行。并向任务管理器窗口发送消息将其关闭。该蠕虫还会在非系统盘根目录下创建autorun.inf和auto.exe,增强感染性。并且修改注册表,使得受感染系统不显示隐藏文件。不仅如此,它还会自动联网,检查下载更新自身,下载安装Alex工具栏,连接下载某些站点网页,提高其点击率。

        卡巴斯基已经可以查杀“百变蠕虫”及其变种,建议您尽快安装卡巴斯基安全软件并将病毒库升级到最新,以免感染给您造成不必要的损失。

专家预防建议:

  • 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。

  • 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

  • 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。

  • 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

  • 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。

  • 6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。

  • 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。