正在阅读:金山毒霸5月安全报告:挂马减少威胁未减金山毒霸5月安全报告:挂马减少威胁未减

2009-06-11 14:44 出处:PConline 作者:金山毒霸 责任编辑:mojiede

  (1)Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)

  展开描述: 模仿文件夹图标,欺骗用户点击

  卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

  瑞星命名: Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

  NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

  麦咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virus

  非常值得注意的情况,四月份感染量最大的病毒Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者),在五月依然保持着它的排名。

  此毒是一个U盘病毒,它将自己的图标伪装成系统文件夹的样子,用户在U盘中看到一个陌生文件夹时,多半都会去点击。如此一来,即使用户禁止了U盘自动播放,该毒依然能够实现运行。运行后,此毒会下载一些别的恶意程序,执行多种破坏行为。

  此外,有一些脚本挂马也会帮助该毒传播,一旦它们利用系统安全漏洞攻入电脑,就会立即下载包括“文件夹模仿者”在内的其它恶意程序。

  根据变种的不同,此毒会呈现多种症状,其中比较明显的一种,是用户系统中的文件夹全部变为病毒的EXE文件,用户必须点击病毒文件才可进入文件夹。这使得病毒得以多次运行,如果该变种所携带的执行模块是广告插件,那么就会尽可能多的弹出广告网页。

  阻止此毒进入系统的最佳办法,是打齐系统补丁并安装金山安全实验室的“网盾”,该工具目前由数十万人参与测试,稳定性不断增强,可100%拦截包括0day漏洞在内的所有漏洞利用代码,粉碎黑客的挂马攻击意图。

  (2)Win32.troj.fakefoldert.yo.1406378(文件夹模仿者变种)

  展开描述: 模仿文件夹图标,欺骗用户点击

  卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

  瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

  NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

  麦咖啡命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

  此毒为Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)的一款变种,其感染量在五月出现大幅增长,最终与前者共同位居感染量排行榜前列,具体的破坏行为也完全一致。此变种挺进感染量TOP10,标志着利用U盘传播的文件夹病毒已经取代传统盗号木马,成为广大电脑用户近期将要面临的最大威胁。

  (3)Win32.troj.killav.121352(宝马下载器变种)

  展开描述: 变种数量大,频繁免杀,下载恶意程序

  卡巴命名: Trojan.Win32.AntiAV.bck、Trojan.Win32.AntiAV.bcy

  瑞星命名: Trojan.DL.Win32.Mnless.daq\n

  NOD32命名: Trojan.Win32.AntiAV.NAA

  如果要说有什么病毒是“文件夹模仿者”最强的竞争对手,肯定非“宝马”莫属。该毒具备有对抗杀毒软件的能力,会采用多种方式尝试中止杀软进程或禁止杀软的服务,甚至还会释放驱动来用于穿透系统还原保护和某些杀软的“主动防御”。随后下载各种恶意程序到电脑上执行,比如盗号木马或广告插件。

  早在4月份时,依靠网页挂马为主要传播手段的宝马下载器在感染量TOP10中就占据了两项排名,分别是第6名和第9名。而在5月份,宝马下载器依靠另外两款变种,将自己的排名上升至第3名和第7名。

  这表明,尽管面临刑法新条例的严厉打击,病毒团伙还是不愿意轻易放弃传统的木马传播手段。一些比较小的病毒团伙可能会无法生存下去,但像“宝马”这样成熟的大鳄,绝不会轻易退出舞台。

  毒霸可拦截该毒和它所下载的盗号木马,如果发现自己电脑上频繁出现此毒,并非该毒“杀不掉”,而是表明有别的未知下载器不断的将其“复活”,毒霸安全专家已经在多款其它的下载器中,发现了“宝马”的身影,这些充分说明在挂马传播日益难做的情况下,病毒团伙之间的“互助”日趋紧密。而对于这种情况,只需下载安装金山安全实验室的“系统急救箱”,就可解决问题。

  (4)Win32.troj.sysjunk2.ak.196608 (干扰弹AK)

  展开描述:干扰反病毒工作者,阻止查杀

  瑞星命名:RootKit.Win32.Undef.bzl\n

  在上四月的安全月报中已经上榜的“干扰弹AK”,5月份依然在用户频繁露脸。

  “干扰弹AK”(win32.troj.sysjunk2.ak.196608),是个“加花指令”。

  所谓的“加花”,是指这种病毒文件本身不会对系统有什么危害,但它包含的大量的垃圾数据,可用来来干扰反病毒人员的分析工作。如果杀毒软件厂商的反病毒工程师技术不强,就有可能无法处理此毒。

  (5)Win32.troj.cfgt.ex.38507(CFG网游盗号器变种)

  展开描述:依靠网页挂马传播,盗窃网游帐号

  卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

  瑞星命名:Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

  NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

  “CFG网游盗号器变种”(win32.troj.cfgt.ex.38507)主要依靠网页挂马传播,它能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞,就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒,或者先下载一个类似宝马下载器这样的普通下载器,再下载此盗号木马。

  打齐系统补丁是防御此毒的最好办法,只要堵住系统中的安全漏洞,感染“CFG网游盗号器变种”(win32.troj.cfgt.ex.38507)的几率就会大大减小。

  如果毒霸频繁提示发现此毒,表明系统中很可能存在未知的下载器,造成每次删除后又再次下载。这种情况不用慌,只需安装并运行金山安全实验室免费提供的“系统急救箱”,对未知下载器进行灭活,即可解决问题。

键盘也能翻页,试试“← →”键

关注我们

最新资讯离线随时看 聊天吐槽赢奖品