销售客服:400-819-1313
客服中心

客服邮箱
kaba365@pcstars.com.cn

销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)

技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)

卡巴斯基每周病毒播报(2010年9月6日至2010年9月12日)
排名 病毒名称 病毒类型 周爆发率(%)
1. Trojan.Win32.Generic 木马 20,46
2. Net-Worm.Win32.Kido.iq 蠕虫 18,00
3. DangerousObject.Multi.Generic 危险对象 17,02
4. Trojan.JS.Agent.bhr 木马 14,29
5. Net-Worm.Win32.Kido.ih 蠕虫 13,18
6. Exploit.JS.Agent.bab 漏洞利用程序 11,30
7. Worm.Win32.FlyStudio.cu 蠕虫 5,45
8. Trojan.WinREG.Agent.x 木马 4,37
9. HiddenObject.Multi.Generic 隐藏对象 3,44
10. Worm.Win32.AutoRun.bdkb 蠕虫 3,19

关注恶意软件:

  • 名称:NSIS木马释放器(Trojan-Dropper.Win32.NSIS.so)
  • 大小:64.0 KB
  • 是否加壳:否
  • 影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/Win7

创建文件:

C:\Program Files\Common Files\System\ado\myie.vbs
C:\Program Files\Messenger\Messenger.kbb
C:\Program Files\Messenger\taodwq.ico
C:\Program Files\Internet Explorer\MUI\iexplore.exe
C:\Program Files\Messenger\Ntype.exe
C:\Program Files\lnkfiles\15.txt
C:\Program Files\lnkfiles\17.txt
C:\Documents and Settings\Administrator\Favorites\成功网上赚钱 网络创业方法指导.url
C:\Documents and Settings\Administrator\Favorites\最新黑马股票推荐,内幕揭秘.url
C:\Documents and Settings\Administrator\Favorites\美女视频聊天免费试看.url
C:\Documents and Settings\Administrator\Favorites\效果好的绿色减肥产品,真管用.url
C:\Documents and Settings\Administrator\Favorites\淘宝网皇冠店大全,品质保证.url
C:\Documents and Settings\All Users\桌面\Internet Explorer.79z
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick
Launch\启动 Internet Explorer 浏览器.79z
C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.79z

修改注册表:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-30520 = "搜索结果"
HKEY_CLASSES_ROOT\.79z\(Default) = "79zfile"
HKEY_CLASSES_ROOT\79zfile\(Default) = "快捷方式"
HKEY_CLASSES_ROOT\79zfile\CLSID\(Default) = "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
HKEY_CLASSES_ROOT\79zfile\shell\(Default) = "open"
HKEY_CLASSES_ROOT\79zfile\shell\open\CLSID = "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
HKEY_CLASSES_ROOT\79zfile\shell\open\command\(Default) = "C:\Program
Files\Messenger\Ntype.exe "C:\Program Files\Messenger\Messenger.kbb" "%1""
HKEY_CLASSES_ROOT\79zfile\shellex\IconHandler\(Default) = "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\(Default) = "Internet Explorer"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\DefaultIcon\(Default) ="C:\Program Files\Internet Explorer\iexplore.exe"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\(Default) = "启动Internet Explorer(&H)"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\启动Internet Explorer(&H)\(Default) = ""
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\启动Internet Explorer
(&H)\Command\(Default) = "C:\Program Files\Internet Explorer\MUI\iexplore.exe %1
http://www.79X73.com/"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)
\Command\(Default) = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\(Default) ="HideOnDesktopPerUser"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\Attributes = 0x0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoInternetIcon = 0x1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 0x2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0x0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden =0x0

行为描述:

该恶意程为NSIS自解压可执行文件,但是却采用压缩包图标,伪装成普通的压缩文件,迷惑用户点击运行。运行后,会释放Messenger.kbb和myie.vbs恶意脚本。并修改注册表不显示隐藏文件、添加文件关联、隐藏桌面浏览器快捷方式。
该恶意程序还会在开始菜单、快速启动栏、桌面创建扩展名为“.79z”文件,由于该恶意程序对扩展名为“.79z”的文件建立了文件关联指向Messenger.kbb,所以每次运行这些文件时会再次执行恶意脚本并访问http://www.79X73.com/和http://wWw.tiaO8X0.infO/。
恶意脚本myie.vbs卡巴斯基检测到Trojan.VBS.StartPage.fq。
恶意脚本Messenger.kbb卡巴斯基检测到Trojan.JS.StartPage.ci。

专家预防建议:

  • 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
  • 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
  • 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
  • 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
  • 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
  • 6.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
  • 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

热点新闻:

更多>>