卡  巴  斯  基  中  国  地  区  每  周  病  毒  报  告

 

2009年7月13日至2009年7月19日

 

排名 病毒名称 病毒类型 周爆发率(%)
1. HEUR:Trojan.Win32.Generic 木马 34.48
2. Trojan-GameThief.Win32.Magania.biht 木马 6.55
3. Trojan-Dropper.Win32.Mudrop.bmj 木马 3.32
4. Trojan.Win32.StartPage.dxi 木马 3.01
5. Trojan-Dropper.Win32.Mudrop.bnb 木马 2.79
6. not-a-virus:AdWare.Win32.Agent.nnu 广告软件 2.31
7. Trojan-Downloader.Win32.Agent.cdam 木马 2.26
8. Trojan-Dropper.Win32.Mudrop.bht 木马 2.17
9. not-a-virus:AdWare.Win32.BHO.gtq 广告软件 1.94
10. Trojan-Dropper.Win32.Mudrop.bmh 木马 1.93

 

关注恶意软件:

  • 恶意软件名称:浏览器拦截者(Trojan.Win32.StartPage.dxi)

  • 恶意软件类型:木马

  • 长度:32194字节

  • 加壳方式:未加壳

  • 影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista

“浏览器拦截者”木马具体表现:

        “浏览器拦截者”木马采用VB语言编写,一般通过网页挂马和由木马下载器下载等方式感染用户计算机。感染用户计算机后,它会创建以下文件到计算机:

        C:\Documents and Settings\Administrator\桌面\Internet Exp1orer.lnk
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Exp1orer.lnk
C:\Documents and Settings\Administrator\Favorites\1122网址导航.url
C:\Documents and Settings\Administrator\Favorites\8684公交查询.url
C:\Documents and Settings\Administrator\Favorites\88小游戏.url
C:\Documents and Settings\Administrator\Favorites\万松小说.url
C:\Documents and Settings\Administrator\Favorites\两性地带.url
C:\Documents and Settings\Administrator\Favorites\人体艺术.url
C:\Documents and Settings\Administrator\Favorites\单机游戏下载.url
C:\Documents and Settings\Administrator\Favorites\嗨嗨吧DJ音乐.url
C:\Documents and Settings\Administrator\Favorites\图片之家.url
C:\Documents and Settings\Administrator\Favorites\女生电影-在线电影.url
C:\Documents and Settings\Administrator\Favorites\音乐快车.url

        并且创建以下注册表项: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Window_Placement
hex:2c,00,00,00,02,00,00,00,03,00,00,00,00,83,ff,ff,00,83,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,b0,00,00,00,00,00,00,00,d0,03,00,00,58,02,00,00,
hex:2c,00,00,00,02,00,00,00,03,00,00,00,00,83,ff,ff,00,83,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,c6,00,00,00,16,00,00,00,e6,03,00,00,6e,02,00,00,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu {871C5380-42A0-1069-A2EA-08002B30309D} dword:00000000 dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel {871C5380-42A0-1069-A2EA-08002B30309D} dword:00000000 dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections SavedLegacySettings
hex:3c,00,00,00,03,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00, hex:3c,00,00,00,05,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,d0,dd,0f,cf,f9,
12,c9,01,01,00,00,00,c0,a8,03,66,00,00,00,00,00,00,00,00,

        可以看出,该木马创建了很多URL链接到用户的收藏夹下,同时隐藏了桌面的IE图标,用自身创建的伪IE图标代替正常的图标显示在桌面上。用户打开此IE图标会被定向到特定的www.xx003.com(其中xx为被屏蔽的字符)网站。而且该木马还通过创建注册表项,将用户的浏览器主页锁定,给用户上网带来很多不便。而且针对用户使用的不同类型浏览器,包括IE、Maxthon、GreenBrowser、360安全浏览器、Firefox等,该木马都会在其浏览器的收藏夹或书签下释放大量URL链接,以实现为这些恶意网站进行流氓式推广的目的。

        此外,该木马还能够获取用户网卡mac地址发送至远程计算机进行感染数量统计。

        卡巴斯基已经可以查杀“浏览器拦截者”木马,建议您尽快安装卡巴斯基安全软件并将病毒库升级到最新,以免因感染给您造成不必要的损失。

专家预防建议:

  • 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。

  • 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

  • 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。

  • 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

  • 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。

  • 6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。

  • 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。