本期關註:
1、Win32:DNSChanger-VJ [Trj] 連續5周名列榜首,可能還有繼續增長的趨勢。
2、Sirefef傢族惡意程序依舊占據很大比率。
3、利用PDF漏洞進行攻擊的惡意程序增多。
入榜病毒分析:
1、Win32:DNSChanger-VJ [Trj]
此為Rootkit病毒的一部分,目的是保護其他病毒組件。例如,它可以阻止安全軟件升級更新。訪問網站主機將被解析為“本地主機”。這就有效的使其無法訪問。這也是此病毒為什麼叫做“DNSChanger”,因為它操縱DNS協議。
2、Trojan.Wimad.Gen.1
該木馬偽裝成一個正常的WMA音頻文件-要求安裝一個特殊的解碼器,才可在Windows系統上播放。如果用戶運行該文件,攻擊者可在系統上安裝各種惡意代碼。該受感染的音頻文件,主要通過共享網絡傳播。
3、Trojan.Sirefef.HU
這個32位的dll文件是基於Sirefef 病毒的組件之一。它的主要目的是,改變搜索引擎結果,使得感染者點擊預先設定好的鏈接(支付點擊廣告)。這些文件經常以"80000032.@"命名註入到“%Windows%Installer{GUID}U”中。它會監控網絡並且會預先設定好幾個鏈接。
4、Win64:Sirefef-A [Trj]
這是一個基於Sirefef木馬傢族關於rootkit組件的檢測。經常會在“%Windir%InstallerU{GUID}”位置下,指向一個名為 "000000??@" 的dll文件。它不包含任何的可執行代碼,但是會收集虛擬貨幣(這樣的代碼稱之為miner)。用這樣一個miner,攻擊者可以收集被感染的計算機中的各種虛擬貨幣,並竊取,從中獲利。
5、JS:Iframe-KV [Trj]
這個一個基於Sirefef木馬傢族關於rootkit組件的檢測。此病毒用自身變量名自我復制.dll文件到Windows系統文件夾(/WINDOWS/system32)。此外,它還會修改其他幾個系統文件來掩飾Sirefef木馬病毒。其目的是,在網頁瀏覽器內操控修改搜索引擎結果,來引導用戶點擊這些修改過的結果,從而可以獲取因點擊該網址而獲得的推廣費用。
6、Rootkit.ZAccess.D
這個32/64位的dll文件是基於Sirefef 病毒的組件之一。它的主要目的是,改變搜索引擎結果,使得感染者點擊預先設定好的鏈接(支付點擊廣告)。這些文件經常以"80000032.@"命名註入到“%Windows%Installer{GUID}U”中。它會監控網絡並且會預先設定好幾個鏈接。
7、Exploit.PDF-JS.GW
這個是一個基於特殊PDF文件的檢查。這個PDF利用CVE-2010-0188的bug。所有已發現的被感染的PDF中都試圖鏈接一個URL,下載並執行惡意文件。
8、Trojan.Sirefef.HH
這是一個基於Sirefef木馬傢族針對64位系統,關於rootkit組件的檢測。這個文件通常會在“%Windows%InstallerU{GUID}”中註入一個"800000cb.@" 文件。這個組件會監控系統文件,例如"svchost.exe" 並會在其中註入惡意代碼。因為這個組件用瞭比較先進的反debugging技術,所以為安全廠傢分析增加瞭難度。
9、Exploit.CVE-2011-3402.Gen
這個一個基於是否觸發CVE-2011-3402安全漏洞的檢查。此類文件可以有如下行為:特殊的微軟word文檔或特殊的字體類型。此病毒的目的是對被感染的計算機進行惡意操作,例如下載或執行其他的惡意程序。
10、Trojan.Sirefef.JD
這是一個基於木馬傢族關於rootkit組件的檢測。這個模塊被用於欺騙點擊廣告或其他的用途。此文件經常會在“%Windows%Installer{GUID}U”註入80000000.@. It文件。 它也會修改添加註冊表項“CLSID{GUID}InprocServer32“ ,在被加載啟動後。這個模塊通過連接google.com來檢查網絡連接,然後試圖鏈接到其他的被標記為惡意的URL上。但它的主要目的是修改網頁瀏覽器的搜索引擎結果,來引導用戶點擊他們預先設定好的鏈接(點擊支付廣告費用)來獲利。
Orignal From: GDATA病毒活躍情況報告2012年第11期
留言列表
