卡  巴  斯  基  中  国  地  区  每  周  病  毒  报  告

 

2009年8月17日至2009年8月23日

 

排名 病毒名称 病毒类型 周爆发率(%)
1. Trojan-GameThief.Win32.Magania.biht 木马 30.50
2. HEUR:Trojan.Win32.Generic 木马 15.67
3. Trojan-GameThief.Win32.Magania.bkii 木马 3.46
4. Trojan-Downloader.Win32.Bho.okp 木马 2.98
5. Trojan-GameThief.Win32.OnLineGames.bmoi 木马 2.83
6. Heur.Win32.Trojan.Generic 木马 2.08
7. Trojan-GameThief.Win32.OnLineGames.bmpm 木马 1.83
8. Trojan-Dropper.Win32.Agent.ayqa 木马 1.78
9. not-a-virus:AdWare.Win32.Agent.oxy 广告软件 1.69
10. Trojan-GameThief.Win32.OnLineGames.bmpl 木马 1.42

 

关注恶意软件:

  • 恶意软件名称:浏览器间谍木马(Trojan-Downloader.Win32.BHO.okp)

  • 恶意软件类型:木马

  • 长度:208896字节

  • 加壳方式:未加壳

  • 影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista

具体表现:

        “浏览器间谍”木马一般通过网页挂马或下载器下载等途径感染用户计算机。一旦感染,它会在用户计算机释放以下文件:

        %AppData%\GeneralInfo\154689FAB1 %System%\ShockWaveEx.dll

        并且创建以下注册表项:

        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EF38BF4-D5DF-402F-9422-70F5666AA200} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EF38BF4-D5DF-402F-9422-70F5666AA200}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EF38BF4-D5DF-402F-9422-70F5666AA200}\ProgID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EF38BF4-D5DF-402F-9422-70F5666AA200}\TypeLib HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{68112376-5617-4565-B7BD-97154599C85D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{68112376-5617-4565-B7BD-97154599C85D}\1.0 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{68112376-5617-4565-B7BD-97154599C85D}\1.0\0 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{68112376-5617-4565-B7BD-97154599C85D}\1.0\0\win32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{68112376-5617-4565-B7BD-97154599C85D}\1.0\FLAGS HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{68112376-5617-4565-B7BD-97154599C85D}\1.0\HELPDIR HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Adobe.ShockWaveEx.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Adobe.ShockWaveEx.1\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0EF38BF4-D5DF-402F-9422-70F5666AA200} HKEY_CURRENT_USER\Software\GeneralInfo

        还会修改以下注册表项:

        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count HRZR_HVDPHG hex:01,00,00,00,08,00,00,00,c0,1f,a8,d2,f9,12,c9,01, hex:02,00,00,00,09,00,00,00,e0,d6,da,63,6a,24,ca,01,

        此程序是一个浏览器辅助对象(BHO),它会随IE浏览器启动而自动加载。加载后会向临时目录下载[6位数字]tmp.exe的恶意文件,并使用命令行/S /D /verysilent执行。[6位数字]tmp.exe是一个由NSIS制作的安装程序,使用/S /D /verysilent执行会使得NSIS安装程序隐藏安装提示和安装过程。[6位数字]tmp.exe运行后会向系统中安装一个此木马的新变种。之后,此木马会记录用户用IE浏览过的所有地址,并将这些隐私数据收集起来,然后伺机发送到远程主机,造成用户隐私泄露。

        卡巴斯基已经可以查杀“浏览器间谍”及其变种,建议您尽快安装卡巴斯基反病毒软件并将病毒库升级到最新,以免感染给您造成不必要的损失。

专家预防建议:

  • 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。

  • 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

  • 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。

  • 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

  • 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。

  • 6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。

  • 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。