排名 | 病毒名称 | 病毒类型 | 周爆发率(%) |
1. | DangerousObject.Multi.Generic | 危险对象 | 32.68 |
2. | Trojan.Win32.Generic | 木马 | 17.59 |
3. | Trojan-Downloader.Win32.Generic | 木马 | 6.54 |
4. | DangerousPattern.Multi.Generic | 危险模式 | 5.46 |
5. | Virus.Acad.Pasdoc.gen | 病毒 | 5.42 |
6. | PSWTool.Win32.Dialupass.kf | 风险工具 | 4.89 |
7. | Virus.Acad.Generic | 病毒 | 3.15 |
8. | AdWare.Win32.Agent.ahdb | 广告软件 | 2.96 |
9. | Trojan.Acad.Qfas.b | 木马 | 2.92 |
10. | Trojan.Win32.Autoit.bph | 木马 | 2.86 |
本周受关注恶意软件:
病毒名:Trojan.Win32.Swisyn.dchp
文件大小:98304字节
加壳方式:未加壳
创建文件:
%Program Files%\[随机六字母]\svchost.exe
创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0NextInstance dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 Service"Windows Test 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 Legacy dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 ConfigFlags dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 Class "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 ClassGUID "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 DeviceDesc "Windows Server 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000\Control *NewlyCreated* dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000\Control ActiveService "Windows Test 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 Type dword:00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 Start dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 ErrorControl dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 ImagePath hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,72,67,6e,72,63,6d,5c,73,76,63,68,6f,73,74,2e,65,78,65,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 DisplayName "Windows Server 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 Description "This is Windows Server 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Security Security hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Enum 0 "Root\LEGACY_WINDOWS_TEST_5.0\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Enum Count dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Enum NextInstance dword:00000001
主要行为:
这是一个后门木马。木马运行后会首先将自身拷贝至%Program Files%\[随机六字母]\svchost.exe,然后创建名为“Windows Test 5.0”的服务使得木马可以随机启动。之后木马会运行%systemroot%\system32\cmd.exe /c del将自身删除。%Program Files%\[随机六字母]\svchost.exe启动后会启动Windows Test 5.0服务并创建名为g**a.com:8888的互斥量保证系统中只有一个木马进程。之后会创建线程连接g**a.com,发送本机网卡信息,监听黑客指令,完成下载其它恶意程序,发动洪水攻击等攻击行为。
专家预防建议:
建立良好的安全习惯,不打开可疑邮件和可疑网站。
不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
安装专业的防毒软件升级到最新版本,并开启实时监控功能。
为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。