x0z7blog01的部落格

排名

名稱

比例

同比8月

1

Win32:DNSChanger-VJ [Trj]

11.81 % 

      持平（8月第1位）

2

Trojan.Wimad.Gen.1

3.48 % 

持平（8月第2位）

3

Trojan.Sirefef.HU

1.79 % 

NEW！新入榜

4

Win64:Sirefef-A [Trj]

1.73 % 

下降（8月第3位）

5

JS:Iframe-KV [Trj]

1.64 % 

NEW！新入榜

6

Win32:ZAccess-IJ [Trj]

1.46 % 

NEW！新入榜

7

Win32:ZAccess-JC [Trj]

1.09 % 

NEW！新入榜

8

Trojan.Sirefef.HH

0.86 % 

下降（8月第5位）

9

Trojan.Sirefef.JZ

0.79 % 

NEW！新入榜

10

Trojan.Sirefef.GY

0.69 % 

下降（8月第9位）

 本期關註：

1、Win32:DNSChanger-VJ [Trj] 連續4周名列榜首。雖然這個病毒，出現到流行，已經有很長一段時間瞭，可最近又有大范圍爆發的趨勢。

2、本期排名前十的病毒中依舊有7位是基於Sirefef木馬傢族的病毒，比上月又增長1個。Sirefef木馬一般通過篡改系統文件等， 引導用戶訪問他們預設的網站，通過此種方式， 獲取廣告推廣傭金。雖然可能對用戶電腦， 不會有很危險的操作，但同樣會有很多的潛在威脅。

3、歌德塔G Data（www.gdata-china.com）安全專傢提醒您，近期微軟更新頻繁，請及時安裝系統補丁，以免病毒會利用系統漏洞攻擊您的電腦。

入榜病毒分析：

1、Win32:DNSChanger-VJ [Trj]

此為Rootkit病毒的一部分，目的是保護其他病毒組件。例如，它可以阻止安全軟件升級更新。訪問網站主機將被解析為“本地主機”。這就有效的使其無法訪問。這也是此病毒為什麼叫做“DNSChanger”，因為它操縱DNS協議。

2、Trojan.Wimad.Gen.1

該木馬偽裝成一個正常的WMA音頻文件-要求安裝一個特殊的解碼器，才可在Windows系統上播放。如果用戶運行該文件，攻擊者可在系統上安裝各種惡意代碼。該受感染的音頻文件，主要通過共享網絡傳播。

3、Trojan.Sirefef.HU

這是一個基於Sirefef木馬傢族關於rootkit組件的檢測。經常會在“%Windir%InstallerU{GUID}”位置下，指向一個名為"000000??@" 的dll文件。它不包含任何的可執行代碼，但是會收集虛擬貨幣（這樣的代碼稱之為miner）。用這樣一個miner，攻擊者可以收集被感染的計算機中的各種虛擬貨幣，並竊取，從中獲利。

4、Win64:Sirefef-A [Trj]

這個一個基於Sirefef木馬傢族關於rootkit組件的檢測。此病毒用自身變量名自我復制.dll文件到Windows系統文件夾（/WINDOWS/system32）。此外，它還會修改其他幾個系統文件來掩飾Sirefef木馬病毒。其目的是，在網頁瀏覽器內操控修改搜索引擎結果，來引導用戶點擊這些修改過的結果，從而可以獲取因點擊該網址而獲得的推廣費用。

5、JS:Iframe-KV [Trj]

這是一個加載於成人網站的JavaScript惡意代碼。JavaScript會在遠程服務器在網頁中註入IFRAME指向到一個.php文件。這個php文件竊取用戶session令牌，然後設置cookies為被劫持狀態。當登陸facebook的時候，惡意程序會用一條短網址，發送到用戶墻上一條消息“Krist*n St€wart Was T*ap*d Dr*onk& Hav1ng S*ex!”吸引其他用戶點擊。

6、Win32:ZAccess-IJ [Trj]

這個32位的dll文件是基於Sirefef 病毒的組件之一。它的主要目的是，改變搜索引擎結果，使得感染者點擊預先設定好的鏈接（支付點擊廣告）。這些文件經常以"80000032.@"命名註入到“%Windows%Installer{GUID}U”中。它會監控網絡並且會預先設定好幾個鏈接。

7、Win32:ZAccess-JC [Trj]

這個32位的dll文件是基於Sirefef 病毒的組件之一。它的主要目的是，改變搜索引擎結果，使得感染者點擊預先設定好的鏈接（支付點擊廣告）。這些文件經常以"80000032.@"命名註入到“%Windows%Installer{GUID}U”中。它會監控網絡並且會預先設定好幾個鏈接。

8、Trojan.Sirefef.HH

這是一個基於Sirefef木馬傢族針對64位系統，關於rootkit組件的檢測。這個文件通常會在“%Windows%InstallerU{GUID}”中註入一個"800000cb.@" 文件。這個組件會監控系統文件，例如"svchost.exe" 並會在其中註入惡意代碼。因為這個組件用瞭比較先進的反debugging技術，所以為安全廠傢分析增加瞭難度。

9、Trojan.Sirefef.JZ

這是一個基於Sirefef木馬傢族關於rootkit組件的檢測。經常會在“%Windir%InstallerU{GUID}”位置下，指向一個名為"000000??@" 的dll文件。它不包含任何的可執行代碼，但是會收集虛擬貨幣（這樣的代碼稱之為miner）。用這樣一個miner，攻擊者可以收集被感染的計算機中的各種虛擬貨幣，並竊取，從中獲利。

10、Trojan.Sirefef.GY

這是一個基於Sirefef木馬傢族針對64位系統，關於rootkit組件的檢測。木馬會在被感染系統的"%Windir%InstallerU{GUID}"或"%Userdir%/%user%/AppData/Local/{GUID}/U" 下註入一個名為"00000004.@" 的文件。這個文件會收集可以使用在其他Sirefet木馬組件上的資源數據。

Orignal From: G Data病毒活躍情況報告2012年第10期