冠群金辰每周病毒播报(2009.06.07-2009.06.13)

ZDNet软件频道　时间：2009-06-17　作者：CNET科技资讯网 | 　我要评论()
本文关键词：病毒播报冠群金辰

据冠群金辰全球反病毒检测网络报告，本周的病毒情况依然保持比较平稳的状态，与上周情况持平，没有新病毒出现，但还是要做好安全措施。

木马侵袭搜索查询恶意网站弹出

据冠群金辰全球反病毒检测网络报告，本周的病毒情况依然保持比较平稳的状态，与上周情况持平，没有新病毒出现，但还是要做好安全措施。从本周收集病毒特征来看，数量较多的几种盗号家族变体数量有所减少。数量最多最常见的仍然是近期的几个家族：Win32/GamePass家族（14种变体），Win32.Ttfon（16种变体），Win32.Wowpa（14种变体）主要以挂马形式传播，针对当前多种流行游戏，盗取信息。

本周二，微软发布了今年规模最大的一次补丁更新。从MS09-018至MS09-027共10多个安全补充程序，修正31个安全漏洞。其中最严重的的安全补充程序是MS09-019，修补了IE中的8个漏洞，涉及到全部IE版本：IE5、IE6、IE7及最新的IE8。在此提醒请广大用户注意及时查漏、补漏！

本周关注的新病毒：

病毒名称：Win32.FakeAlert.MX

其它名称：Clbd LB (CA Anti-Spyware), TrojanDropper:Win32/Alureon.J (MS OneCare), Rootkit.Win32.Clbd.lb (Kaspersky), Backdoor.Tidserv (Symantec)

病毒属性：特洛伊木马

危害性：中等危害

流行程度：中

病毒特性：

Win32/FakeAlert.MX 是近期流行较广的FakeAlert家族的新变体。它属于一种下载类木马病毒，能够阻止某些安全网站，并将用户的搜索查询指向恶意网站。

感染方式：

病毒文件被执行后，Win32/FakeAlert.MX 生成以下注册表键值：

HKLMsoftwaretdssinjector* = "TDSSl.dll"

然后将此DLL注入到以下系统进程中：

services.exe
winlogon.exe
lsass.exe
svchost.exe

如果DLL已经注入到"svchost.exe"中，FakeAlert就会查找命令行参数是否存在"avp.exe" 和 "avgexfs.exe" 字符串。

危害：

下载并运行任意文件

Win32/FakeAlert.MX 连接以下域，用来上报给它的控制者，还会下载其它的特洛伊病毒。

78.157.142.26/windowsupdate/
backupservice1.net
compalusa.com
compalusax.com
domainpub.info
domainspubs.com
…
updatemics.com
updatemics1.com

阻止网站

Win32/FakeAlert.MX 监控Internet，阻止访问以下域，其中很多与安全相关：

247fixes.com
abuse.com
abuse.net
acens.net
agnitum.com
ahbl.org
andymanchesta.com
antiphishing.org
antispywareoffensief.nl
arcabit.com
armor2net.com
atribune.org
atwola.com
auditmypc.com
aumha.org
avast
avg.com
avira.com
avp.ch
avp.com
avp.ru
bdbrandprotect.com
besttechie.net
beyondlogic.org
bfccomputers.com
bitdefender
bl.csma.biz
bleepingcomputer.com
bluemedicine.be

… 包含大量安全网站URL，此处省略。

zonealarm.com
zonelabs
zonelabs.com

监视搜索引擎，改变搜索结果：
特洛伊监控以下网站的访问：
go.aol.com
go.google.com
go.live.com
go.msn.com
go.yahoo.com
go1.aol.com
go1.google.com
go1.live.com
go1.msn.com
go1.yahoo.com
go2.aol.com
go2.google.com
go2.live.com
go2.msn.com
go2.yahoo.com
go3.aol.com
go3.google.com
go3.live.com
go3.msn.com
go3.yahoo.com