冠群金辰2008年10月計算機病毒疫情分析

【賽迪網-IT技術報道】

一、病毒信息統計

根據冠群金辰公司國內以及全球病毒監測分析結果，2008年10月份病毒統計信息如下：

1.病毒類型統計

本月病毒主要類型有：木馬、蠕蟲、病毒、間諜軟體等。

其中，木馬所佔比例為60%。

2.傳播方式統計

本月病毒傳播方式變化不大，主要有：網絡共享、電子郵件、漏洞攻擊、Web瀏覽和下載、移動USB隨身碟、即時軟體等。

3.病毒危害統計

本月病毒的主要危害有：自動下載惡意軟體、竊取用戶信息、篡改系統信息、強制阻止防病毒類軟體的安全防護、盜號遊戲帳戶等。

二、病毒疫情及發展趨勢分析

根據統計日誌，本月病毒情況基本保持奧運前後比較平穩的狀況，但與上月相比稍有所增加。月末幾天的新病毒數量增加較快，總體上並未出現影響較大的病毒事件。

新增的種類上仍然以木馬及蠕蟲類為主。月末批量下載類病毒增加較多，而且出現強制綁定其它廣告軟體、播放器等惡意軟體的現象。

從傳播途徑上看，種類最多的仍然是通過網站瀏覽感染的木馬病毒，本月增加最多的是網游盜號類木馬程序。這類掛馬病毒主要來自於不良信息網站（主要為色情、廣告推廣類網站），當用戶使用有安全漏洞的瀏覽器訪問這類網頁時，病毒一般利用jsp腳本下載木馬程序並利用VBS或bat腳本進行激活，以便對系統安裝木馬程序或者開放後門。

以下是本月數量較多的幾種病毒：

Htm腳本類：

英文代碼JS/MS06-014!exploit 〉利用比較老的系統漏洞INF/Bosbot.p -> 屬於USB隨身碟病毒類VBS/Gamepass.LR -> 盜號遊戲的腳本部分

木馬類：

Win32.Gamepassgeneric  (網游盜號類)Win32.GameStealergeneric  (網游盜號類)Win32.Midigam.DP （下載類木馬及其變體）Win32.Gamepass.JF Win32.FarfligenericWin32/Lolyda 木馬家族及其變體Win32/Lolyda!GenericWin32/Dowque!generic 盜竊敏感信息Win32/SillyDL.FSFWin32.SillyD木馬病毒

隨著月末微軟重要安全漏洞MS08-067及其補丁的發佈，出現了針對此漏洞的病毒：

特洛伊病毒Win32.Gimmiv.A 危害性：中等危害

該特洛伊通過微軟MS08-067漏洞下載傳播，一旦感染會盜取用戶系統上的敏感信息。

病毒特性：

Win32/Gimmiv.A 是一種特洛伊病毒，能夠從被感染機器上盜竊敏感信息。特洛伊包含2個部分，一個是大小為397,312字節的dropper，另一個是大小為336,384字節的DLL，其中DLL執行主要危害。

感染方式：

Win32/Gimmiv.A特洛伊通過微軟MS08-067漏洞下載到系統中，您可以到以下站點下載微軟MS08-067漏洞補丁：

http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx

Win32/Gimmiv.A生成一個DLL文件%System%/wbem/sysmgr.dll，隨後修改註冊表鍵值，以便在系統啟動時運行病毒：

HKLM/SYSTEM/CurrentControlSet/Services/sysmgrHKLM/SYSTEM/CurrentControlSet/Services/sysmgr/Parameters/ServiceDll = "%System%/wbem/sysmgr.dll"HKLM/SYSTEM/CurrentControlSet/Services/sysmgr/Parameters/ServiceMain = "ServiceMainFunc"

危害：

盜竊敏感信息

Win32/Gimmiv.A從被感染機器上盜竊敏感信息，例如：

Windows 版本、用戶名和機器名、系統上安裝的程序、軟體的用戶名和密碼，例如Internet Explorer、Outlook Express 和 MSN Messenger。

另外，此病毒還會通過註冊表查找是否安全其他反病毒程序，並將收集信息發送到特定IP地址。

Win32.SillyD木馬病毒 破壞性：中 普及度：中

此病毒是一種下載類的特洛伊病毒。Win32/SillyDl變體一般可通過如下方式感染用戶計算機：用戶訪問惡意網頁時，通過Internet Explorer瀏覽器安裝、通過其它的特洛伊下載器安裝 或者通過其他軟體包攜帶安裝。很多變體會在C盤的根目錄生成以若干數字為名稱的隱含目錄，其中也是數字命名的隱含文件，例如：

Win32/SillyDl的新變體可下載其它的特洛伊病毒，或者其他惡意軟體例如廣告軟體。同時，它會嘗試下載更新。這種病毒通常利用HTTP下載。

Win32/Gamepass!generic

一種針對網游的賬號盜取木馬，大多可能是通過生成器製作，文件數量較多。一般通過其他木馬批量下載進行傳播。

Win32/GameStealer!generic

這是另外一種近期常見的針對網游（「夢幻西遊」、「軍閥」、「超時空要塞」等）的木馬。近期的變體通常會在系統%system32%目錄生成多個2M左右的dll文件，用於注入到遊戲進程進行賬號竊取。

Win32/SillyDL.FSF

這個病毒及其他的變體一般是用戶訪問惡意網頁時，利用Internet Explorer瀏覽器的漏洞進行安裝，或者通過其它的特洛伊下載器及其它軟體安裝包一起安裝。另外，它的某些變體還會下載其它的特洛伊病毒，或者廣告軟體。

下圖是此病毒的最新變體，使用qq程序的圖標以吸引用戶執行。

其他近期新病毒的資料可參考：

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防範建議：

1、對於個人PC，重要的系統補丁應及時安裝；對於企業用戶，應加強補丁管理意識，尤其對伺服器等重要系統應盡早安裝；

2、不訪問有害信息網站，不隨意下載/安裝可疑插件，並檢查IE的安全級別是否被修改；

3、使用KILL時注意及時升級到最新的病毒庫版本，並保持時時監視程序處於開啟狀態；

4、不要隨意執行未知的程序文件；

5、合理的配置系統的資源管理器（比如顯示隱含文件、顯示文件擴展名），以便能夠更快地發現異常現象，防止被病毒程序利用；

三、更多信息

有關病毒信息、間諜軟體信息、漏洞公告信息，請訪問：

http://www.kill.com.cn/product/yujing/index.asp

(