G Data（歌德塔）病毒活跃情况报告2012年第10期

2012-11-16 00:16:00 [ 中关村在线 ]

收藏文章

排名	名称	比例	同比8月
1	Win32:DNSChanger-VJ [Trj]	11.81 %	持平（8月第1位）
2	Trojan.Wimad.Gen.1	3.48 %	持平（8月第2位）
3	Trojan.Sirefef.HU	1.79 %	NEW！新入榜
4	Win64:Sirefef-A [Trj]	1.73 %	下降（8月第3位）
5	JS:Iframe-KV [Trj]	1.64 %	NEW！新入榜
6	Win32:ZAccess-IJ [Trj]	1.46 %	NEW！新入榜
7	Win32:ZAccess-JC [Trj]	1.09 %	NEW！新入榜
8	Trojan.Sirefef.HH	0.86 %	下降（8月第5位）
9	Trojan.Sirefef.JZ	0.79 %	NEW！新入榜
10	Trojan.Sirefef.GY	0.69 %	下降（8月第9位）

　　本期关注：

　　1、Win32:DNSChanger-VJ [Trj] 连续4周名列榜首。虽然这个病毒，出现到流行，已经有很长一段时间了，可最近又有大范围爆发的趋势。

　　2、本期排名前十的病毒中依旧有7位是基于Sirefef木马家族的病毒，比上月又增长1个。Sirefef木马一般通过篡改系统文件等，引导用户访问他们预设的网站，通过此种方式，获取广告推广佣金。虽然可能对用户电脑，不会有很危险的操作，但同样会有很多的潜在威胁。

　　3、歌德塔G Data（www.gdata-china.com）安全专家提醒您，近期微软更新频繁，请及时安装系统补丁，以免病毒会利用系统漏洞攻击您的电脑。

　　入榜病毒分析：

　　1、 Win32:DNSChanger-VJ [Trj]

　　此为Rootkit病毒的一部分，目的是保护其他病毒组件。例如，它可以阻止安全软件升级更新。访问网站主机将被解析为“本地主机”。这就有效的使其无法访问。这也是此病毒为什么叫做“DNSChanger”，因为它操纵DNS协议。

　　2、Trojan.Wimad.Gen.1

　　该木马伪装成一个正常的WMA音频文件-要求安装一个特殊的解码器，才可在Windows系统上播放。如果用户运行该文件，攻击者可在系统上安装各种恶意代码。该受感染的音频文件，主要通过共享网络传播。

　　3、Trojan.Sirefef.HU

　　这是一个基于Sirefef木马家族关于rootkit组件的检测。经常会在“%Windir%\Installer\U\{GUID}\”位置下，指向一个名为 “000000??@” 的dll文件。它不包含任何的可执行代码，但是会收集虚拟货币（这样的代码称之为miner）。用这样一个miner，攻击者可以收集被感染的计算机中的各种虚拟货币，并窃取，从中获利。

　　4、Win64:Sirefef-A [Trj]

　　这个一个基于Sirefef木马家族关于rootkit组件的检测。此病毒用自身变量名自我复制.dll文件到Windows系统文件夹（/WINDOWS/system32）。此外，它还会修改其他几个系统文件来掩饰Sirefef木马病毒。其目的是，在网页浏览器内操控修改搜索引擎结果，来引导用户点击这些修改过的结果，从而可以获取因点击该网址而获得的推广费用。

　　5、JS:Iframe-KV [Trj]

　　这是一个加载于成人网站的JavaScript恶意代码。JavaScript会在远程服务器在网页中注入IFRAME指向到一个.php文件。这个php文件窃取用户session令牌，然后设置cookies为被劫持状态。当登陆facebook的时候，恶意程序会用一条短网址，发送到用户墙上一条消息“Krist*n St€wart Was T*ap*d Dr*onk & Hav1ng S*ex!”吸引其他用户点击。

　　6、Win32:ZAccess-IJ [Trj]

　　这个32位的dll文件是基于Sirefef 病毒的组件之一。它的主要目的是，改变搜索引擎结果，使得感染者点击预先设定好的链接（支付点击广告）。这些文件经常以 “80000032.@”命名注入到“%Windows%\Installer\{GUID}\U\”中。它会监控网络并且会预先设定好几个链接。

　　7、Win32:ZAccess-JC [Trj]

　　8、Trojan.Sirefef.HH

　　这是一个基于Sirefef木马家族针对64位系统，关于rootkit组件的检测。这个文件通常会在“%Windows%\Installer\U\{GUID}”中注入一个 “800000cb.@” 文件。这个组件会监控系统文件，例如“svchost.exe” 并会在其中注入恶意代码。因为这个组件用了比较先进的反debugging技术，所以为安全厂家分析增加了难度。

　　9、Trojan.Sirefef.JZ

　　10、Trojan.Sirefef.GY

　　这是一个基于Sirefef木马家族针对64位系统，关于rootkit组件的检测。木马会在被感染系统的“%Windir%\Installer\U\{GUID}\”或“%Userdir%/%user%/AppData/Local/{GUID}/U” 下注入一个名为 “00000004.@” 的文件。这个文件会收集可以使用在其他Sirefet木马组件上的资源数据。