网络安全信息与动态周报 - 国家互联网应急中心
19.06.2015 Views
Share Embed Flag

网络安全信息与动态周报 - 国家互联网应急中心

网络安全信息与动态周报 - 国家互联网应急中心

网络安全信息与动态周报 - 国家互联网应急中心

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
cert.org.cn

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

Worm.Win32.FakeFolder.<br />

bm<br />

Trojan.DL.Win32.AVPla<br />

yer.a<br />

该 蠕 虫 病 毒 通 过 网 页 挂 马 的 方 式 传 播 , 利 用 文 件 夹 图 标 伪 装 自 己 , 混<br />

淆 用 户 ; 病 毒 运 行 后 释 放 感 染 文 件 到 系 统 目<br />

录 %systemRoot%\system32\gphone.exe,%systemroot%\gphone.exe, 并 运<br />

行 , 添 加 启 动 任 务 ,at1.job, 每 天 实 现 自 动 启 动 病 毒 程 序 gphone.exe; 遍<br />

历 除 系 统 盘 外 的 其 他 磁 盘 下 的 文 件 夹 , 并 利 用 文 件 的 名 称 作 为 传 播 病 毒<br />

的 文 件 名 , 混 淆 用 户 运 行 ; 每 个 本 地 磁 盘 根 目 录 下 创 建 autorun.inf,<br />

gphone.exe 当 用 双 击 打 开 磁 盘 , 利 用 windows 系 统 的 特 性 将 自 动 运 行 配<br />

置 文 件 autorun.inf 中 设 置 的 病 毒 文 件 gphone.exe; 添 加 启 动 项 [run], 实 现<br />

病 毒 自 启 动 。<br />

该 木 马 病 毒 通 过 捆 绑 下 载 的 方 式 传 播 , 它 捆 绑 在 被 修 改 的 qvod 播 放<br />

器 安 装 软 件 中 , 主 病 毒 程 序 加 载 dll 后 , 释 放 病 毒 文 件 61jjj.exe( 随 机 文 件<br />

名 ), 在 资 源 里 面 释 放 正 常 的 qvod 播 放 器 , 下 载 文 件 A_V_DVD.dll 并 加<br />

载 , 开 始 下 载 正 常 的 qvod 播 放 器 程 序 。<br />

3、 网 络 病 毒 捕 获 和 传 播 情 况<br />

本 周 ,CNCERT 捕 获 了 大 量 新 增 网 络 病 毒 文 件 4 5<br />

, 其 中 按 网 络 病 毒 名 称 统 计 新 增 99 个 ,<br />

6<br />

较 上 周 新 增 数 量 减 少 了 约 8.3%; 按 网 络 病 毒 家 族 统 计 新 增 1 个 , 较 上 周 数 量 增 加 了 1 个 。<br />

网 络 病 毒 主 要 对 一 些 防 护 比 较 薄 弱 或 者 访 问 量 较 大 的 网 站 通 过 网 页 挂 马 的 方 式 进 行 传<br />

播 。 当 存 在 安 全 漏 洞 的 用 户 主 机 访 问 了 这 些 被 黑 客 挂 马 的 网 站 后 , 会 经 过 多 级 跳 转 暗 中 连<br />

接 黑 客 最 终 “ 放 马 ” 的 站 点 下 载 网 络 病 毒 。 本 周 ,CNCERT 监 测 发 现 排 名 前 十 的 活 跃 放 马 站<br />

点 域 名 和 活 跃 放 马 站 点 IP 分 别 如 下 两 表 所 示 。<br />

排 序 活 跃 放 马 站 点 域 名 排 序 活 跃 放 马 站 点 IP<br />

1 download.cpudln.com 1 220.181.19.75<br />

2 my-project-namex.googlecode.com 2 173.208.198.212<br />

3 yztq-net.googlecode.com 3 173.208.198.213<br />

4 kiop12.com 4 74.125.71.82<br />

5 dl.dlh521.com 5 122.228.236.82<br />

6 dl.dls521.com 6 121.205.89.214<br />

7 www.game.duonengduo.net 7 173.208.202.195<br />

8 www.tssgdam.com 8 109.230.208.143<br />

9 sq.pv4444.net 9 184.22.91.134<br />

10 j00.hujj49c0.com 10 122.224.9.61<br />

网 络 病 毒 在 传 播 过 程 中 , 往 往 需 要 利 用 黑 客 注 册 的 大 量 域 名 。 本 周 ,CNCERT 监 测 发<br />

注 4: 网 络 病 毒 文 件 是 网 络 病 毒 的 载 体 , 包 括 可 执 行 文 件 、 动 态 链 接 库 文 件 等 , 每 个 文 件 都 可 以 用 哈 希 值 唯 一<br />

标 识 。<br />

注 5: 网 络 病 毒 名 称 是 通 过 网 络 病 毒 行 为 、 源 代 码 编 译 关 系 等 方 法 确 定 的 具 有 相 同 功 能 的 网 络 病 毒 命 名 , 完 整<br />

的 命 名 一 般 包 括 : 分 类 、 家 族 名 和 变 种 号 。 一 般 而 言 , 大 量 不 同 的 网 络 病 毒 文 件 会 对 应 同 一 个 网 络 病 毒 名 称 。<br />

注 6: 网 络 病 毒 家 族 是 具 有 代 码 同 源 关 系 或 行 为 相 似 性 的 网 络 病 毒 文 件 集 合 的 统 称 , 每 个 网 络 病 毒 家 族 一 般 包<br />

含 多 个 变 种 号 区 分 的 网 络 病 毒 名 称 。<br />

3

logo

Produtos

Recursos

Empresas

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!