时间:2010-08-14 | 栏目:安全播报 | 点击:次
本周总体病毒状况继续保持相对平稳的状况,未出现严重的病毒及网络安全事件。一周总的捕获样本数量较前一周有所下降。
一周的常见病毒种类主要以网游盗号类/信息盗窃类木马程序(win32/gamepass家族、Win32/wowpa家族)、downloader变体(Win32/silly家族)、QQ盗号类木马为主,新出现的变体数量也程下降趋势。由于近期没有出现较易利用的新漏洞,因此近期黑客主要利用的漏洞相关的病毒变化不大,较常见的都是比较老的系统漏洞:
JS.CVE-2008-0015exploit - Microsoft Video ActiveX 漏洞
JS.CVE-2009-1136exploit - Microsoft Office Web 组件控件中漏洞
JS/CVE-2010-0249!exploit - IE极光漏洞利用脚本
HTML.Iframe!exploit – IE脚本;
HTML.Emerleox.IJ – IE漏洞相关脚本;
JS.MSDirectShowexploit - 利用Directshow 漏洞;
其中,JS.CVE-2008-0015exploit - Microsoft Video ActiveX 漏洞相对来说被黑客利用更多,这个脚本病毒在多处挂马网站被使用,它主要通过在页面加载视频插件代码,当用户使用含有此漏洞的系统访问页面时执行有害程序造成感染。因此提醒用户不要“裸机”上网。
一周关注病毒:
病毒名称:Win32.Hiloti.DN
病毒别称:Trojan:Win32/Hiloti.gen!D (MS OneCare), Trojan-Downloader.Win32.Mufanom.hia (Kaspersky)
病毒属性:特洛伊木马(下载器类木马)
危害性:中等危害
病毒特性:
Win32/Hiloti.DN 是一种新出现的特洛伊病毒属于下载器类木马,能够从远程服务器下载潜在的恶意文件,并将系统相关信息上报给远程服务器。
感染方式:
Win32/Hiloti.DN 的病毒副本是一个任意名称的DLL文件,在Windows文件夹中运行:
%windir%\
它还会修改以下注册表键值,在每次系统重启时加载恶意的DLL文件:
添加 value: "
数据: "rundll32.exe %windir%\
例如:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,"zysdx","%windir%\ kbrint32.dll,e"
病毒还要修改以下键值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
危害:
病毒生成以下互斥体,以确保每次启动时都有一个病毒副本在运行,这些互斥体的名称可能会变化:
307831c8
fd6bb2bd
0fdd13f5
连接到一个远程服务器。Win32/Hiloti.DN 可能连接到以下位置下载文件或上报相关系统信息:
edvehal.com
kathell.com
病毒还能够连接到远程FTP服务器下载其它的恶意文件。本周常见病毒类表: