卡  巴  斯  基  中  国  地  区  每  周  病  毒  报  告

 

2009年10月19日至2009年10月25日

 

排名 病毒名称 病毒类型 周爆发率(%)
1. Trojan-GameThief.Win32.Magania.bwsr 木马 14.45
2. Trojan-Dropper.Win32.Agent.ayqa 木马 13.53
3. HEUR:Trojan.Win32.Generic 木马 10.39
4. Trojan-GameThief.Win32.Magania.biht 木马 7.62
5. Trojan-Downloader.Win32.Delf.wua 木马 7.00
6. Trojan-GameThief.Win32.Magania.bxxp 木马 2.78
7. Trojan.Win32.Pakes.lmb 木马 2.66
8. Trojan-GameThief.Win32.Magania.bwsi 木马 2.60
9. Trojan-GameThief.Win32.Magania.bkii 木马 2.45
10. Trojan-GameThief.Win32.Magania.bwyr 木马 2.42

 

关注恶意软件:

  • 恶意软件名称:“黑暗先锋”木马(Trojan-Downloader.Win32.Delf.wua)

  • 恶意软件类型:木马

  • 长度:47616字节

  • 加壳方式:UPX

  • 影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/WIN7

具体表现:

        “黑暗先锋”木马是一个下载器木马,功能仅为下载运行其它恶意程序,本身不会在系统中创建新文件和注册表项。木马运行后会首先下载http://XX.enet3721.cn/tools.txt至本机临 时目录下的Cache.txt。此txt文件内容如下:

        1
        http://xx.henhao321.cn/winseclogon.dll.txt
         winseclogon.dll
         1

        并且删除下列文件:

        此文件中的内容就是最终要下载的文件和其被保存到系统中的文件名。之后木马会下载此文件,并将此文件保存为%system32%\winseclogon.dll,并运行命令regsvr32.exe /s来调用其中的DllRegisterServer函数使得被下载的dll得以运行。被下载的dll被卡巴斯基检测为:not-a-virus:AdWare.Win32.BHO.jre。虽然从名称上看是一个广告程序,但其行为已经近似于后门。它会将自己拷贝到%system32%目录下,并将自己注册为服务启动,自始至终在系统中运行,并连接ip地址为116.228.55.xx的远程计算机,进而完全控制受感染计算机。此外,它还会创建批处理文件来关闭系统的UI0Detect服务。

        卡巴斯基已经可以查杀此木马,建议您尽快安装卡巴斯基反病毒软件并将病毒库升级到最新,以免感染给您造成不必要的损失。

专家预防建议:

  • 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。

  • 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

  • 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。

  • 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

  • 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。

  • 6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。

  • 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。