销售客服:400-819-1313
客服中心

客服邮箱
kaba365@pcstars.com.cn

销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)

技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)

卡巴斯基中国地区每周病毒报告(2012年12月24日至2013年1月6日)
排名 病毒名称 病毒类型 周爆发率(%)
1. Trojan.Win32.Generic 木马 28.40
2. DangerousObject.Multi.Generic 危险对象 16.77
3. Virus.MSExcel.Agent.f 病毒 9.44
4. Trojan.VBS.Agent.nn 木马 6.09
5. Virus.Acad.Generic 病毒 5.65
6. HiddenObject.Multi.Generic 隐藏目标 5.39
7. Virus.Acad.Pasdoc.gen 病毒 5.26
8. Net-Worm.Win32.Kido.ir 网络蠕虫 5.25
9. Net-Worm.Win32.Kido.ih 网络蠕虫 5.14
10. Virus.Win32.Suspic.gen 木马 4.56

关注恶意软件:

  • 名称:木马(Trojan-Dropper.Win32.Dapato.byce)
  • 文件大小:228752字节
  • 加壳方式:未加壳

创建文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\MSSYSTEM.DAT
C:\Documents and Settings\All Users\Application Data\WINDNSAPI.DAT
C:\WINDOWS\system\MSAPI.DRV

创建目录:

创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\ESET
HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security
HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Scheduler\3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

MSSYSTEM\0000 Service "msSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

MSSYSTEM\0000 Legacy dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

MSSYSTEM\0000\Control *NewlyCreated* dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

MSSYSTEM\0000\Control ActiveService "msSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem?

ImagePathhex(2):5c,3f,3f,5c,43,3a,5c,44,6f,63,75,6d,65,6e,74,73,20,61,6e,

64,20,53,65,74,74,69,6e,67,73,5c,41,6c,6c,20,55,73,65,72,73,5c,41,70,70,

6c,69,63,61,74,69,6f,6e,20,44,61,74,61,5c,4d,53,53,59,53,54,45,4d,2e,44,41,54,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem

DisplayName "System device driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem\Security

修改注册表:

主要行为:
此木马运行后会检查自身文件名是否是testapp.exe或iexplore.exe,如果是则退出。估计这是在检查自己是否处于模拟的环境中,以防止其恶意行为在模拟环境中暴露。之后会向system目录下释放一个名为MSAPI.DRV的DLL,并获取其导出函数DealA、DealB的地址。接着木马向临时目录和Application Data目录下分别释放MSSYSTEM.DAT和WINDNSAPI.DAT,使用前面的DealA和DealB函数将他们加载运行。最后木马会调用命令行删除自身。所释放的MSAPI.DRV、MSSYSTEM.DAT和WINDNSAPI.DAT分别被卡巴斯基检测为:Backdoor.Win32.Agent.datf、Trojan-Spy.Win32.Agent.cfme和Trojan-PSW.Win32.QQPass.bopk,会使用户电脑变成肉鸡,完全被黑客操纵,造成隐私信息被盗、QQ号码丢失等严重后果。

专家预防建议:

  • 建立良好的安全习惯,不打开可疑邮件和可疑网站。
  • 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
  • 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
  • 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
  • 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
  • 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
  • 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

热点新闻:

更多>>