卡巴斯基中国地区每周病毒报告2014.02.10-2014.02.16日

本周受关注恶意软件：

病毒名：Trojan.Win32.Swisyn.dchp

文件大小：98304字节

加壳方式：未加壳

创建文件： 
%Program Files%\[随机六字母]\svchost.exe

创建注册表： 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0NextInstance dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 Service"Windows Test 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 Legacy dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 ConfigFlags dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 Class "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 ClassGUID "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000 DeviceDesc "Windows Server 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000\Control 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000\Control *NewlyCreated* dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TEST_5.0\0000\Control ActiveService "Windows Test 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 Type dword:00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 Start dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 ErrorControl dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 ImagePath hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,72,67,6e,72,63,6d,5c,73,76,63,68,6f,73,74,2e,65,78,65,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 DisplayName "Windows Server 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0 Description "This is Windows Server 5.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Security 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Security Security hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Enum 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Enum 0 "Root\LEGACY_WINDOWS_TEST_5.0\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Enum Count dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test 5.0\Enum NextInstance dword:00000001

主要行为： 
这是一个后门木马。木马运行后会首先将自身拷贝至%Program Files%\[随机六字母]\svchost.exe，然后创建名为“Windows Test 5.0”的服务使得木马可以随机启动。之后木马会运行%systemroot%\system32\cmd.exe /c del将自身删除。%Program Files%\[随机六字母]\svchost.exe启动后会启动Windows Test 5.0服务并创建名为g**a.com:8888的互斥量保证系统中只有一个木马进程。之后会创建线程连接g**a.com，发送本机网卡信息，监听黑客指令，完成下载其它恶意程序，发动洪水攻击等攻击行为。

专家预防建议:

建立良好的安全习惯，不打开可疑邮件和可疑网站。

不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。

现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

安装专业的防毒软件升级到最新版本，并开启实时监控功能。

为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。