销售客服:400-819-1313
客服中心

客服邮箱
kaba365@pcstars.com.cn

销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)

技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)

卡巴斯基中国地区每周病毒报告(2013年6月10日至2013年6月16日)
排名 病毒名称 病毒类型 周爆发率(%)
1. DangerousObject.Multi.Generic 危险对象 19.16
2. Trojan.Win32.Generic 木马 16.82
3. Virus.Acad.Pasdoc.gen 病毒 5.84
4. Virus.Acad.Generic 病毒 5.74
5. PSWTool.Win32.Dialupass.he 风险工具 4.86
6. HiddenObject.Multi.Generic 隐藏对象 4.30
7. Trojan.Acad.Qfas.b 木马 3.43
8. Net-Worm.Win32.Kido.ir 网络蠕虫 3.20
9. Trojan.Script.Iframer 木马 3.01
10. Net-Worm.Win32.Kido.ih 网络蠕虫 2.80

关注恶意软件:

  • 名称:Trojan.Win32.Agent.xsil
  • 大小:64000字节
  • 加壳方式:ASPack

创建文件:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\[随机文件名].dat
C:\Documents and Settings\Infortmp.txt

修改文件:
C:\WINDOWS\system32\tapisrv.dll

创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Marveller
HKEY_LOCAL_MACHINE\SOFTWARE\Marveller LDN hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control ActiveService "TapiSrv"
修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TapiSrv Start dword:00000003 dword:00000002

删除注册表:
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
SYSTEM\CurrentControlSet\Control\SafeBoot\Network

主要行为:
这是一个下载器木马。木马运行后会将自身拷贝为临时目录下[随机文件名].dat,之后通过挂钩IMM32.dll中的ImmLoadLayout函数和ntdll.dll中的ZwOpenKey和ZwOpenKeyEx函数并向explorer.exe发送WM_INPUTLANGCHANGEREQUEST消息使得explorer.exe进程运行[随机文件名].dat。之后木马会随机从AppMgmt、Netman、CryptSvc等服务中选择一个,并将自身修改为DLL格式替换原服务对应的DLL,而后将相应的服务设置为自动启动。这样当系统启动这些服务时就会启动木马。为防止用户进入安全模式,木马会删除安全模式相关注册表。木马还会将用户网卡的MAC地址发送到87.138.250.***/aa*/Count.asp?进行安装量统计。木马会从54.169.9.***、115.238.237.***、61.132.227.**等地址下载其它恶意程序。

专家预防建议:

  • 建立良好的安全习惯,不打开可疑邮件和可疑网站。
  • 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
  • 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
  • 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
  • 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
  • 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
  • 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

热点新闻:

更多>>