一、 趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
1) 10.10.7.222
2) 10.10.2.180
3) 10.10.2.181
1.2受感染用户前10名(总排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | SC509-B9 | 10.78.21.39 | 95187 | 紫金港-东4-5,东4-6 |
| 2 | TOSHIBA-PC | 10.14.26.121 | 75203 | 玉泉-教3 |
| 3 | Lab7-00000 | 10.71.149.2 | 35055 | 紫金港-医学院教学中心 |
| 4 | LAB4051 | 10.71.149.5 | 16534 | 紫金港-医学院教学中心 |
| 5 | MBAC | 10.71.89.250 | 12964 | 紫金港-青溪 |
| 6 | PC-200811111100 | 10.15.31.100 | 8715 | 玉泉-教7-新闻 |
| 7 | 201-C7-4 | 10.15.61.213 | 6521 | 图书馆 |
| 8 | 201-C7-3 | 10.15.61.212 | 5627 | 图书馆 |
| 9 | LENOVO-C30AB68F | 10.14.32.51 | 4388 | 曹光彪楼-材化学院 |
| 10 | E1F0661DB2A34F2 | 10.72.32.63 | 2933 | 紫金港启真酒店12,13层 |
1.3受感染用户前10名(本月排行)
| 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 | |
| 1 | Lab7-00000 | 10.71.149.2 | 3101 | 紫金港-医学院教学中心 |
| 2 | 10.15.43.76 | 385 | 玉泉-热能所 | |
| 3 | 10.15.65.104 | 359 | 玉泉-图书馆 | |
| 4 | 10.71.89.72 | 320 | 紫金港行政3楼 | |
| 5 | X2-204 | 10.78.213.10 | 274 | 紫金港西2多媒体教室 |
| 6 | 10.71.35.75 | 225 | 紫金港-生物实验楼 | |
| 7 | 10.78.21.86 | 183 | 紫金港-东4-5,东4-6 | |
| 8 | 10.71.149.4 | 164 | 紫金港-医学院教学中心 | |
| 9 | X2-413 | 10.78.213.36 | 150 | 紫金港西2多媒体教室 |
| 10 | X1-215 | 10.78.212.16 | 137 | 紫金港西1多媒体教室 |
二、 安全简讯
2.1 2012年2月前十大病毒警讯
| 排名 | 病毒名称 | 威胁类型 | 风险等级 | 病毒行为描述 |
| 1 | TROJ_DOWNAD.INF | 木马 | ★★★ | DOWNAD蠕虫关联木马 |
| 2 | WORM_DOWNAD.AD | 蠕虫 | ★★★★ | 该病毒会攻击未安装微软 IE 漏洞 MS08-067的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中 500 个恶意网站下载病毒 |
| 3 | WORM_DOWNAD | 蠕虫 | ★★★★ | 该病毒会攻击未安装微软 IE 漏洞 MS08-067的电脑,并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中 500 个恶意网站下载病毒 |
| 4 | TROJ_IFRAME.CP | 木马 | ★★★ | GIF、jpg和SWF 文件中被插入一个恶意的iframe 标记时,趋势科技会将其判断为TROJ_IFRAME.CP 病毒。当这些文件被执行时,会重定向到这些 URL,并下载恶意程序 |
| 5 | Cryp_Xed-12 | 木马 | 木马病毒,通过访问恶意站点下载感染或由其他恶意程序下载感染 | |
| 6 | CRCK_KEYGEN | 破解程序 | ★★ | 非法破解程序 |
| 7 | JS_OBFUSCATED.FI | 脚本病毒 | ★★★ | 当用户访问包含此脚本的网站时,会自动运行此此脚本,并被重定向到其他包含恶意代码的站点。 |
| 8 | PAK_Generic.001 | 木马 | ★★ | 经过加壳技术加密的文件 |
| 9 | X97M_LAROUX.BK | 宏病毒 | ★★★ | 宏病毒,主要通过用户浏览恶意网站感染,该病毒主要感染Office Excel文件,并且会在Excel中创建一个名为StartUp的宏脚本 |
| 10 | Downloader_Agent | 灰色软件 | ★★ | 这灰色软件下载器会自动下载并安装额外的其他的灰色软件,如广告软件和间谍软件。 |
2.2本月安全趋势分析
趋势科技热门病毒综述--ANDROIDOS_FAKENOTIFY.A
病毒描述:
该木马针对安卓系统,它会引诱用户去假冒的安卓电子市场下载应用。 一旦执行,该木马会显示一条俄文文本,译为“您是否同意下载WhatsApp Messenger。继续下载,请点击下一步。”
病毒特征:
请注意应用WhatsApp Messenger 是从恶意站点处下载的。应用名称会根据用户下载的应用而变化
该木马可能由用户手动安装。
这个广告程序主要由用户通过访问恶意网站被暗中下载。
对该病毒的防护可以下载更新趋势最新手机病毒码:1.177.00 或以上版本
病毒详细信息请查询:
http://about-threats.trendmicro.com/Malware.aspx?language=us&name=ANDROIDOS_FAKENOTIFY.A
2.3 2011年1月~2012年3月各查杀统计表
已查杀的病毒/恶意软件数:
已查杀的全部病毒、恶意软件摘要:
传染来源摘要:(N/A表示来自外网或无法识别)
被感染的目标(主机)摘要:
处理措拖结果摘要:
三、 计算机病毒常用防范知识
3.1蠕虫病毒解析
蠕虫病毒描述:
蠕虫病毒的本质特征之一就是透过网络主动进行感染,本身不具有太多破坏特性,以消耗系统带宽、内存、CPU为主。这类病毒最大的破坏之处不是对终端用户造成的麻烦,而是对网络的中间设备无谓耗用。例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕虫病毒爆发的最大受害者——“互联网瘫痪了”——2003年1月的SQL蠕虫病毒爆发就是最好的例证。
蠕虫病毒浅析:
在以前,编写蠕虫病毒的技术要求相当高。1988年,前面提到的“磁芯大战”之子罗伯特.莫里斯在发现了几个系统漏洞后,编写了一个精巧的程序,短短时间便将当时的大半个互联网瘫痪。由以上可以看出,蠕虫的出现,传播,感染是需要系统漏洞和获得系统权限的。莫里斯不愧为技术高手,不光在于对病毒的编写,更在于对系统漏洞的发掘上。随着时间的推移,操作系统的进步,在功能完善的同时,漏洞也随之增加。
不少真正的安全小组在发现漏洞的同时,除了会给出详细的技术说明外,往往附带一个小程序的源代码,说明利用漏洞获得权限的实现。而这个小程序被蠕虫病毒编写者如获至宝,将起改写,加上文件传输,ping扫描,修改启动项自动执行等能用代码简单实现的功能,就成了一个蠕虫病毒——换句话说,现在编写蠕虫病毒的门槛已经大大降低了,所以大家会看到18岁的优秀病毒编写者云云——其实相较起破坏特性来,发现安全漏洞更是需要高超的技术水平——这是安全小组做到的,而不是病毒编写者。因此可以这样概括:自从莫里斯发明出蠕虫病毒以来,该种病毒的编写者自身实力日渐下降,从操作系统级水平沦落到代码编写级水平,不可同日而语。
蠕虫病毒感染途径:
系统漏洞/用户错误权限:蠕虫病毒本事是一个需要以一定身份执行的程序。因此通过系统漏洞进行感染是其手段,提升权限是其企图,重复感染是其目的。没打上系统漏洞补丁的操作系统,权限设置松散的设置,极其简单的用户密码是这类病毒的最爱。
蠕虫病毒自查:
由于通过网络感染,蠕虫病毒都会大量占用网络带宽。由于现在普通pc的性能相当不错,因此一些新兴的蠕虫病毒在大肆占用网卡发送封包的同时,本机速度不会变的太缓慢,这跟自查带来了一定麻烦。以天缘工作为例,检查到内网中有用户染毒后,电话通知他,结果被反问:“我运行单机程序的时候这么快,只有上网的时候才觉得慢,是不是你们网络中心故意捣乱??”网管难做啊,不对单机造成任何伤害的病毒用户一般难以察觉,因此还是后来会导致系统出错1分钟内自动关闭的这类病毒比较受我们网管欢迎呢。上网的朋友可以检查一下网络连接的封包发送,如果自己没进行任何操作的时候,依然有大量的数据报文不断发出——那么有很大可能您中了蠕虫病毒。
蠕虫病毒查杀:
蠕虫病毒由于感染非常迅速,而且是通过系统漏洞方式感染,所以对互联网络的危害相当大,唇亡齿寒,因此一般来说发现了该漏洞的操作系统公司和杀毒公司都不会坐视不管,会在第一时间推出补丁和专杀工具。用户下载后,断网进行杀毒,然后打上patch,重新启动系统就能避免再次重复感染了。至于病毒传播速度太快,在杀毒后下载patch的中途又被重复感染的问题,可以阅读:冲击波和冲击波克星感染主机问题解析和删除冲击波和冲击波克星病毒解决方案,举一反三则可以。
蠕虫病毒杀毒遗留:
由于蠕虫病毒本身是独立程序,利用系统漏洞进行远程权限获取,进而上传,运行,感染,所以用专用的软件杀除后,基本无文件残留,但部分专杀工具没有将其启动项目清理得非常完全,可以使用上面查找木马启动设置的方法手工查找加载位置进行删除。另外切记一定在杀毒后第一时间及时打上补丁,否则重复感染机会高达100% 。
蠕虫病毒防御:
1.勤打补丁,一般说来一个操作系统被发现漏洞以后,大概在15天以内相关的病毒就会出现,因此有必要随时关注自己所使用的操作系统的补丁升级情况,养成每天定时查看补丁升级情形的习惯。这里的补丁不光包括操作系统自身的,也包含程序服务的补丁,例如ftp服务器的补丁等等。
2.权限设置,很多蠕虫病毒感染的条件是需要以root级运行的进程出现漏洞,那么蠕虫病毒才有权限进行上载、执行的权利,在windows下由于大多数后台进程是以administrator权限执行,带来的危害也相当大;*nix下则可设置非关键进程使用普通用户或chroot方式来避免权限提升。
3.尽量少开服务,可开可不开的服务绝对不开,最小化风险;
4.安装网络封包防火墙,只允许特定的端口的数据包通过或者特定的程序访问网络。
3.2 常见病毒处理方法-文件夹病毒处理方法
文件夹病毒不是一个病毒,而是具有类似性质的病毒的统称,此类病毒会将真正的文件夹隐躲起来,并天生一个与文件夹同名的exe文件,并使用文件夹的图标,使用户无法分辨,从而频繁感染。
你的U盘或数码相机中保存着重要的数据和照片,当你打开盘符的时候,却发现什么都没有了,相信这时你的脑袋会嗡的一下,然后急着想看看发生了什么事,于是疯狂地打开一个个文件夹进行查看。而这时文件夹病毒早已伪装成文件夹了,你运行的只是病毒而已。很多朋友都不喜欢显示文件的扩展名,再加上病毒伪装得和真正的文件夹一模一样,因此在这种情况下,相信尽大部分的人都会中招。
当然这还没完,当你发现U盘中有文件夹,但是却死活打不开,于是你就会想到往别的电脑上打开一下,看看是不是U盘坏了,于是又一台电脑被感染了。
文件夹病毒手工清除方法
Step2:删除病毒在System32天生的以下文件:com.run、dp1.fne、eAPI.fne、internet.fne、krnln.fnr、og.dll、og.edt、RegEx.fnr、spec.fne、ul.dll、XP-290F2C69.EXE、winvcreg.exe 2008.EXE(随机名)
Step3:删除病毒的启动项,删除以下启动项:“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”里的XP-**.EXE(后8 位随机)及“C:/Documents and Settings/Administrator/「开始」菜单/ 程序/ 启动”里的“.lnk”。
Step4:显示移动磁盘里隐躲的原有文件夹,方法是:工具--文件夹选项-- 查看--取消“隐躲受保护的操纵系统文件”前的钩,以及选择“显示所有的文件和文件夹”确定,并删除以文件夹图标为图标的exe病毒文件。
假如你碰到的是该病毒的变种,那么可以使用文件夹病毒的专杀工具一次性解决题目。专杀工具下载地址:http://www.duote.com/soft/3814.html。运行后直接查杀,世界就清静了。
文件夹病毒的防御
文件夹病毒的技术并不高深,因此防御起来还是相对简单的,只需要把握两点即可:
1、显示文件的后缀名。方法为:
打开“我的电脑”,选择“工具”菜单→“ 文件夹选项”,选择“查看”,取消“隐躲已知文件类型的扩展名”前的对钩,然后点击“确定”。这样当你看到exe后缀的文件夹就不太会想往双击了吧。
2、禁用自动播放。对付U 盘类病毒,最好用的方法就是禁用自动播放。方法为:点击“开始”→“运行”,输进“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“治理模版”→“系统”,在右侧窗口可以找到“停用自动播放”项,其状态为“未被配置”。双击之,在“策略”中选中“启用”选项,点击“确定”即可。
文件夹病毒的防与治你看明白了吗?在遇到类似的问题。你大可不必慌张了,使用上述的方法为自己排忧解难吧!
四、 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
咨询服务电话:87951669
工程师联系方式:
13751767387 郭波
13588277982 章荣伟
评分:
©2004-2020 浙江大学 浙ICP备05074421号-1 浙公网安备33010602010295
联系:0571-87951669 / E-mail:xwmaster@zju.edu.cn / 地址:中国 杭州 / 邮编:310027