一. 趋势系统使用情况
1.1 三台服务器统计中毒排名在前的用户:
1) 10.10.7.222
2) 10.10.2.180
3) 10.10.2.181
1.2 受感染用户前10名(总排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | SC509-B9 | 10.78.21.39 | 95184 | 紫金港-东4-5,东4-6 |
| 2 | TOSHIBA-PC | 10.14.26.121 | 75200 | 玉泉-教3 |
| 3 | Lab7-00000 | 10.71.149.2 | 28612 | 紫金港-医学院教学中心 |
| 4 | LAB4051 | 10.71.149.5 | 15083 | 紫金港-医学院教学中心 |
| 5 | MBAC | 10.71.89.250 | 9493 | 紫金港-青溪 |
| 6 | PC-200811111100 | 10.15.31.100 | 8654 | 玉泉-教7-新闻 |
| 7 | 201-C7-4 | 10.15.61.213 | 6521 | 图书馆 |
| 8 | LENOVO-C30AB68F | 10.14.32.51 | 4388 | 曹光彪楼-材化学院 |
| 9 | 088DBCA323EB436 | 10.214.66.171 | 4271 | 玉泉-外经贸 |
| 10 | E1F0661DB2A34F2 | 10.72.32.63 | 2917 | 紫金港启真酒店12,13层 |
1.3 受感染用户前10名(本月排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | LAB4051 | 10.71.149.5 | 1095 | 紫金港-医学院教学中心 |
| 2 | Lab7-00000 | 10.71.149.2 | 631 | 紫金港-医学院教学中心 |
| 3 | MATH7 | 10.13.91.147 | 367 | 玉泉-工商管理楼 |
| 4 | LI | 无记录 | 210 | |
| 5 | SC509-B9 | 10.78.21.39 | 157 | 紫金港-东4-5,东4-6 |
| 6 | CRPE | 10.214.65.225 | 95 | 玉泉-外经贸 |
| 7 | PHYSICS-61FB605 | 10.14.122.123 | 94 | 玉泉-教12 |
| 8 | NEW | 10.78.21.149 | 86 | 紫金港-东4-5,东4-6 |
| 9 | SC509-B6 | 10.78.21.126 | 86 | 紫金港-东4-5,东4-6 |
| 10 | SUBAOGEN | 222.205.37.14 | 83 | 玉泉-23舍 |
二. 安全简讯
2.1 2011年12月前十大病毒警讯
| 排名 | 病毒名称 | 威胁类型 | 风险等级 | 病毒行为描述 |
| 1 | TROJ_DOWNAD.INF | 木马 | ★★★ | DOWNAD蠕虫关联木马 |
| 2 | WORM_DOWNAD.AD | 蠕虫 | ★★★★ | 该病毒会攻击未安装微软 IE 漏洞 MS08-067的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中 500 个恶意网站下载病毒 |
| 3 | WORM_DOWNAD | 蠕虫 | ★★★★ | 该病毒会攻击未安装微软 IE 漏洞 MS08-067的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中 500 个恶意网站下载病毒 |
| 4 | Cryp_Xed-12 | 木马 | ★★★ | 木马病毒,通过访问恶意站点下载感染或由其他恶意程序下载感染 |
| 5 | TROJ_IFRAME.CP | 木马 | ★★★ | GIF、jpg和SWF 文件中被插入一个恶意的iframe 标记时,趋势科技会将其判断为TROJ_IFRAME.CP 病毒。当这些文件被执行时,会重定向到这些 URL,并下载恶意程序 |
| 6 | CRCK_KEYGEN | 破解程序 | ★★ | 非法破解程序 |
| 7 | WORM_ECODE.E-CN | 蠕虫 | ★★★★ | E语言病毒,产生与当前文件夹同名exe文件 |
| 8 | PAK_Generic.001 | 加壳文件 | ★★ | 经过加壳技术加密的文件 |
| 9 | Adware_Adplus | 灰色软件 | ★★ | 广告软件,常见行为如在Internet Explorer和Mozilla的Web浏览器上显示广告横幅。虽然没有将此归类为恶意软件,但是此类广告软件通常会对系统造成不良影响,如弹出式广告、影响网络连接速度或降低系统性能等。 |
| 10 | Downloader_Agent | 灰色软件 | ★★ | 这灰色软件下载器会自动下载并安装额外的其他的灰色软件,如广告软件和间谍软件。 |
2.2 本月安全趋势分析
本月热门病毒仍为TROJ_PIDIEF.EGO及BKDR_FYNLOS.A,具体情况如下:
本月热门病毒简述-TROJ_PIDIEF.EGO
这个后门是TROJ_ARTIEF.AEB的释放文件,与逝世的朝鲜领导人金正日有关。 它会访问一些特定的URL 去发送以及接受远端恶意控制者的命令,从而危害了系统的安全。这个后门程序可能会被其他恶意软件释放。 它运行后会删除自身。
本月热门病毒简述-BKDR_FYNLOS.A
| 该后门程序由带有附件的恶意.pdf格式的文件释放。这个附件上带有垃圾信息,这些信息与前朝鲜领导人金正日逝世的新闻有关。 该后门程序使用参数来连接它的C&C服务器。如果后门成功连接,它会执行特定的行为。 该后门程序可能由其它恶意软件释放。 它会在每一个注册表入口添加系统启动选项以此达到自启动。 | |
| |
| |
2.3 2011年1月~2012年1月各查杀统计表
已查杀的病毒/恶意软件数:
已查杀的全部病毒、恶意软件摘要:
传染来源摘要:(N/A表示来自外网或无法识别)
被感染的目标(主机)摘要:
处理措拖结果摘要:
三 计算机病毒常用防范知识
3.1 dll,exe病毒程序是如何运行的
dll文件也叫动态链接程序库,当exe程序运行时,会同时调用很多dll文件来实现扩展功能,下面我们给大家来介绍一下dll,exe病毒程序是怎么运行的?
3.1.1 dll型木马
[原理]
dll文件也叫动态链接程序库。当exe程序运行时,会同时调用很多dll文件来实现扩展功能。此时如果木马对dll映像实施劫持,对系统文件或其他程序进行恶意的注入,就可以达到窃取机密文件、篡改系统关键位置、隐藏自身等目的。因此dll木马可以称作注入型木马,也可以叫映像劫持木马。
[特点]
可以将任何一种病毒做成dll型,著名的极光病毒就是一个集成性质的蠕虫。具有极高的免杀性,隐蔽能力强。反杀毒软件的效率较高。再生能力强,一般情况下重装系统无法清除。除常规感染外,还可以注入到rar等其他文件中。
[各种常见加载方式]
1.利用系统中的rundll32.exe加载。这是指将木马只做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。
2.替换系统中的DLL文件。它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时,DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时,DLL后门就开始启动并运行。
3.dll注入技术,即嵌入式。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。
[著名dll后门木马]
lpk.dll/usp10.dll
SvchostDLL.dll
BITS.dll
QoServer.dll
3.1.2 exe类可直接执行木马病毒
[原理]
这个不能笼统地说什么原理。任何一款木马病毒都可以做成exe型,不同的exe木马原理不同,功能也不同。
[特点]
直接以exe文件出现。常常会进行加壳加花等免杀处理,以及外观伪装。常常与各种正常软件捆绑在一起,或者伪装成正常的软件。运行后不会有任何迹象,除非被杀软发现。如果免杀不当,容易被主动防御截获。由于是可执行文件,隐蔽能力不强。一般情况下,exe型木马主要用来盗号或作为间谍软件,也有可能充当下载者。其实dll病毒充当下载者,再下载exe木马,是一种常见搭配。
[各种常见运行方式]
这个真的不好说。exe只是一种形式。毕竟不同木马原理不同,.exe不能用来分类木马。当然,常用的是,可以挂钩到常见软件来激活运行,也可以加载到注册表。除此之外,欺骗用户人为点击是目前最常用的方法。
[著名exe木马]
灰鸽子类型远控木马
wow各种盗号程序
winlogon.exe
iexplore.exe
Explorer.exe
3.2 常见病毒处理方法-dll后门木马bits
一直以来,我们都认为木马是以exe结尾的可执行文件,只要不运行exe为后缀的文件就可以了。但如果木马都这么容易辨别,那就不能称为木马了。事实上有很多木马都不是以exe为后缀的,例如著名的后门木马工具bits,就是一款dll后门,整个后门程序只有一个dll文件,但却可以实现非常恐怖的效果。那么dll后门木马是如何运作的?我们又该如何清除dll后门木马呢?
l dll后门木马的来历
dll(DynamicLinkLibrary)即系统的动态链接库文件。dll文件本身并不可以运行,需要应用程序调用。当程序运行时,Windows将dll文件装入内存中,并寻找文件中出现的动态链接库文件。dll后门木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成dll文件。我们都知道正在运行的程序是不能关闭的,而dll后门木马会插入到这个应用程序的内存模块中,因此同样同样无法删除,这就是dll后门木马的高明之处。
dll后门木马通常只有一个文件,依靠动态链接程序库,由某一个EXE作为载体,或者使用Rundll32.exe来启动,插入到系统进程中,达到隐藏自身的目的。因此dll后门木马在隐藏技术上比普通木马有了质的飞跃,当然危害性也就大大增加了。
l dll后门木马的运作方式
dll后门木马的危害主要分为两方面:1.隐蔽性,由于其可以“寄宿”于任一应用程序的进程,包括系统进程,因此我们很难发现其存在。2.难删除:上文中我们提到被dll后门木马插入的进程是无法结束的,因此要想清除并不容易。
我们来结合实际看看dll后门木马的使用和运作过程。bits是一款著名的dll后门木马,其具备了dll后门木马的所有特点,没有进程,也不开启端口,认为:隐蔽性很强,是dll后门木马的代表。
l bits的安装
bits只有一个dll文件——bits.dll。点击“开始”→“运行”,输入“rundll32.exebits.dll,install<123456>”即可成功让bits进驻系统。
安装bits
l bits的使用
假设运行bits的计算机IP地址为192.168.0.1,黑客可以使用一款网络工具nc,在“命令提示符”中运行nc后输入命令“nc192.168.0.180”。回车后会发现没有回显,此时我们需要输入”才能命令bits。这条命令的作用是绑定一个shell到本机的777端口,此时黑客再连接目标主机的777端口就可以在目标计算机上执行任意命令了。一般的dll后门木马都需要类似的安装和使用,认为:虽然比普通木马要来得麻烦,但是威力是相当大的。
连接bits开启后门
l 清除木马
bits的清除还是比较简单的,首先运行注册表编辑器,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameter,将ServiceDll的键值更改为“%SystemRoot%System32 asauto.dll”即可,然后将系统目录system32文件夹下的bits.dll删除即可。
清除bits
l dll后门木马的防范
1、当系统存在问题时,我们可以查看进程中的dll文件,找出隐藏在其中的dll后门木马。查看进程中的dll文件可以使用Windows优化大师的进程管理功能,点击进程后,在下方会出现该进程中包含的dll文件,如果是系统进程,那么其dll文件的发行商都应该是“Microsoft”,否则就很有可能是dll后门木马。找到dll后门木马后将进程结束,再根据路径将dll后门木马删除即可。
2、及时更新杀毒软件。dll后门木马虽然和普通木马不同,但仍旧是木马,还是可以被杀毒软件查杀的,只要我们及时升级杀毒软件病毒库,对防范dll后门木马还是有很大帮助的。
四 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
咨询服务电话:87951669
工程师联系方式:
13751767387 郭波
13588277982 章荣伟
评分:
©2004-2020 浙江大学 浙ICP备05074421号-1 浙公网安备33010602010295
联系:0571-87951669 / E-mail:xwmaster@zju.edu.cn / 地址:中国 杭州 / 邮编:310027