【IT168 资讯】2009年6月22日至2009年6月28日
| 排名 | 病毒名称 | 病毒类型 | 周爆发率(%) |
| 1. | HEUR:Trojan.Win32.Generic | 木马 | 16.47 |
| 2. | Trojan-Dropper.Win32.Mudrop.aso | 木马 | 7.64 |
| 3. | Trojan-Dropper.Win32.Mudrop.ash | 木马 | 5.16 |
| 4. | not-a-virus:AdWare.Win32.BHO.gtq | 广告软件 | 4.54 |
| 5. | not-a-virus:AdWare.Win32.Agent.nnu | 广告软件 | 3.92 |
| 6. | Trojan-Dropper.Win32.Mudrop.atc | 木马 | 3.58 |
| 7. | Trojan-GameThief.Win32.Magania.biht | 木马 | 3.55 |
| 8. | Trojan-Downloader.Win32.Geral.adp | 木马 | 3.49 |
| 9. | Trojan-Downloader.Win32.Agent.cdam | 木马 | 3.16 |
| 10. | Trojan-Downloader.Win32.Geral.ady | 木马 | 2.41 |
关注恶意软件:
恶意软件名称:“僵尸傀儡”木马(Trojan.Win32.Agent2.kte)
恶意软件类型:木马
长度:180224字节
加壳方式:未加壳
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
“僵尸傀儡”木马具体表现:
该木马一般通过网页挂马或者被下载器下载的方式感染用户计算机。感染后,它会在计算机磁盘上创建以下文件:
%ALLUSERSPROFILE%\desktop.ini
%system32%\ipcmd.dll
%system32%\sysdiag.dll
同时创建下列注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WindowsAppInit_DLLs"sysdiag.dll"
其中创建的desktop.ini文件为配置文件,将记录所有此木马所需要调用的文件。注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WindowsAppInit_DLLs"sysdiag.dll",使得系统启动时会将sysdiag.dll注入到所有进程中。sysdiag.dll运行后会调用ipcmd.dll中导出的LetsWork函数连接远程计算机server7.ss2.name(ip地址91.207.5.130),此时计算机可受远程计算机控制,成为僵尸网络中的一台傀儡计算机。
目前远程计算机会指示被感染计算机下载dxvars.dll至system32目录下并执行其中导出的mod_start函数来发送垃圾邮件。根据远程计算机指示所下载运行相应的DLL,被感染的计算机还有可能会被用来实现DDOS攻击、提高某一网站流量、弹出广告窗口等其他目的。
卡巴斯基已经可以查杀“僵尸傀儡”木马,建议您尽快安装卡巴斯基安全软件并将病毒库升级到最新,以免感染给您造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
