冠群金辰7月第1周报告:Directshow 0day爆发(图)
总体病毒状况继续保持前一周相对平静的势态,未发现严重危害的新型病毒。本周总体病毒样本捕获数量及样本种类均有下降。
周末公网爆出微软 Directshow 0day漏洞的利用代码,因此而出现多个利用此漏洞的挂马网站。此漏洞利用代码相对简单,比较容易以挂马形式出现。目前捕获的此类病毒主要是下载器类和盗号类安全。
在微软正是发布补丁前,此漏洞会被广泛利用。此漏洞会影响windows2000/xp/2003系统,Vista和windows7将不受影响。因此请广大用户注意尽量避免访问未知的网站并注意及时升级反病毒程序特征库。
本周关注的新病毒家族:
病毒名称:Win32.Dowque.ATQ
其它名称:DDoS-Huai (McAfee), W32.Versie.A (Symantec), Trojan-GameThief.Win32.OnLineGames.dnc (Kaspersky)
病毒属性:蠕虫病毒
危害性:中等危害
流行程度:中
病毒特性:
Win32/Dowque.ATQ 是一种通过逻辑驱动器进行传播的蠕虫。安全者可以利用蠕虫远程访问被感染的机器,病毒还会盗窃敏感信息,发起拒绝服务安全。
感染方式:
运行时,Win32/Dowque.ATQ生成%System%/ddos.exe,并使用Internet Explorer图标: 病毒还会设置一个服务,在系统启动时运行病毒:
图1服务名称: "Windows_ServerDdos"
显示名称: "Windows_ServerDdos"
运行路径: %System%/ddos.exe
图2传播方式:
通过逻辑驱动器进行传播(U盘传播)
Win32/Dowque.ATQ 通过所有的逻辑驱动器进行传播,它会修改注册表键值,使逻辑分区上的策略文件失效,并将所有驱动器的自动播放功能开启。
然后Dowque 在所有逻辑驱动器的根目录下生成"ddos.exe"文件和"AutoRun.inf"文件。"AutoRun.inf"文件会在下一次访问驱动器的时候自动运行病毒文件。
危害:
隐秘行为
为了在任务管理器和资源管理器中隐藏病毒的程序,Win32/Dowque.ATQ将病毒注入到系统进程"iexplore.exe"中(%Program Files%/Internet Explorer/IEXPLORE.EXE)。
随后蠕虫运行%System%/ddos.exe病毒文件,并生成一个BAT文件%System%/Deleteme.bat,用来删除自身文件。
后门功能
Win32/Dowque.ATQ 建立以下远程连接:
IP 地址: 123.13.101.210:8383 域名: nc888.kmip.net:8383
通过这个后门,蠕虫可能接受以下指令:
打开URL,并从远程服务器获取信息;
运行以下命令’Sendto’, ’listen’, ’connect’, ’accept’, ’recv’, ’bind’ 和 ’close’ ;
下载文件;
关闭远程机器;
盗窃敏感信息,通过以下方式:获取截屏,使用剪贴板,从打开的窗口、message 和popup获取信息;
改变或管理设置,例如控制鼠标移动。
盗窃敏感信息
Win32/Dowque.ATQ 会盗取以下敏感信息:
计算机名;
处理器类型;
CPU 速率;
操作系统版本;
可利用的内存;
安装的Service pack;
蠕虫把收集到的信息保存到:%System%/DDOSBZ.TXT。
另外,蠕虫还能够记录按键。
拒绝服务安全
Dowque.ATQ 通过SYN flood 和 ICMP 安全导致拒绝服务安全。蠕虫通过生成ICMP包来执行这些安全,还通过TCP 和 UDP协议来发送它们。
本周常见较活跃病毒列表及变体数量:
表1其他近期新病毒的资料可参考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;