冠群金辰6月第3周報告:出現群發郵件功能的蠕蟲
【51CTO.com 綜合消息】總體病毒狀況依然保持前一周比較平靜的勢態,未發現嚴重危害的新型病毒。從本周收集病毒種類來看,數量較多的幾種盜號家族在變體數量上有較大減少,以往變體較多的幾個盜號木馬/下載器家族,在本周捕獲的變體數量減少很多。但本周的郵件類病毒有增加趨勢,新出現了幾種帶有群發郵件功能的蠕蟲。
本周關注的新病毒:
病毒名稱:Win32.Mytob.PA
其它名稱:TrojanDropper:Win32/VB.AV (MS OneCare)
病毒屬性:蠕蟲病毒
危害性:中等危害
流行程度:中
病毒特性:
Win32/Mytob.PA是一種通過電子郵件傳播的蠕蟲病毒,并且同時可通過u盤進行傳播。它還禁用一些安全軟件,并下載其它的惡意程序,是一種復合型病毒。
感染方式:
當病毒文件被執行后,Mytob.PA會復制到以下位置:
%Program Files%\Common Files\Microsoft Shared\MSInfo\msinfo16h.exe %Program Files%\Internet Explorer\JSPdebuggercom.dll %Windows%\ctfmon.exe %Windows%\inetinfo.exe %Windows%\winlogon.exe %Windows%\inf\realplayer.exe %System%\TIMPlatform.exe |
在系統注冊表啟動項中添加,以便系統啟動時被執行,并且在系統服務中加入名稱為“DHCP System Application”的服務。
傳播方式:
通過郵件傳播
Win32/Mytob.PA通過郵件進行傳播,病毒附加在郵件的附件中,并使用自帶的SMTP引擎進行發送。病毒通過Windows Address Book (WAB)收集目標郵件地址,并在帶有以下擴展名的文件中搜索郵件地址:
.asp、.cgi、.htm、.html、.jsp、.shtml、.txt、.xml |
蠕蟲發送的電子郵件有以下特點。
寄件人地址隨機生成,其中可能是以下任意一個:
Ayiana Sruti Subhadra Subhaga Subhangi … Yogita Zankhana Zarna |
域名可能是以下任意一個:
aol.com、freemail.com、gmail.com、hotmail.com、mail.com、msn.com |
例如,發件人的地址可能顯示為Tusti@msn.com 。
郵件正文包括以下內容:
Dear : fakedegrees is now the only site that provides you with an On-line Certificate Creator. With our exclusive tools and the partnership with one of the best online degree and diploma merchants we can provide our members with the largest range of novelty university degrees, college diplomas and high school certificates that you can preview online. Open attachment to view contact method and Certificate of photos. Thanks:) |
病毒發送的垃圾郵件的附件使用以下圖標,誘騙用戶相信該附件是一個壓縮文件。
通過驅動器傳播
Win32/Mytob.PA搜索所有可利用的移動驅動器和固定驅動器,生成"Autorun.inf"文件,以確保下一次訪問驅動器的時候自動運行病毒文件。
危害
使安全軟件失效
Win32/Mytob.PA 使被感染機器上與安全相關的軟件失效,從而降低被感染機器的安全性,并對多種安全軟件進行“鏡像劫持”。
可能是以下任意一些:
adam.exe AgentSvr.exe AppSvc32.exe AST.exe autoruns.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe IceSword.exe iparmo.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32.exe KPFW32X.exe … UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.EXE.exe WoptiClean.exe zxsweep.exe |
修改Hosts文件
Hosts文件包含IP地址和主機名的映射。Windows在查詢DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系統中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系統中hosts文件位于%Windows%\hosts。
Mytob.PA修改hosts文件,將以下一些URL改變為localhost,有效的阻止用戶訪問這些站點:
127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 liveupdate.symantec.com … 127.0.0.1 bbs.duba.net 127.0.0.1 www.luosoft.com 127.0.0.1 an.baidu.com 127.0.0.1 www.rising.com.cn 127.0.0.1 tools.ikaka.com |
盜竊敏感信息
該蠕蟲病毒試圖竊取網絡游戲魔獸世界(WOW)的有關信息。它在%Program Files%\World of Warcraft\Data\enGB\ 中搜索WOW的配置文件“realmlist.wtf”。然后使用Activer服務器http://kexp.org/emailforms/email_action.asp發送內容。
本周常見較活躍病毒列表及變體數量:
 |
| 表1 |
其他近期新病毒的資料可參考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建議:
1、對于個人PC,重要的系統補丁應及時安裝;對于企業用戶,應加強補丁管理意識,尤其對服務器等重要系統應盡早安裝;
2、不訪問有害信息網站,不隨意下載/安裝可疑插件,并檢查IE的安全級別是否被修改;
3、使用KILL時注意及時升級到最新的病毒庫版本,并保持時時監視程序處于開啟狀態;
4、不要隨意執行未知的程序文件;
5、合理的配置系統的資源管理器(比如顯示隱含文件、顯示文件擴展名),以便能夠更快地發現異常現象,防止被病毒程序利用;
