【51CTO.com 綜合消息】總體病毒狀況繼續(xù)保持前一周相對(duì)平靜的勢(shì)態(tài)，未發(fā)現(xiàn)嚴(yán)重危害的新型病毒。但從本周收集病毒種類來(lái)看，比較常見(jiàn)的幾個(gè)木馬家族變體數(shù)量上相對(duì)前一周有所回升。數(shù)量最多最常見(jiàn)的木馬家族：Win32/GamePass家族（網(wǎng)游類；本周22種變體），Win32/Loodok!generic （下載器類；2種變體），Win32.SillyDL （下載器類；5種變體）Win32.Wowpa（網(wǎng)游/后門類；3種變體）。

本周關(guān)注的新病毒家族：

病毒名稱：Win32.Vundo Family

其它名稱：Adware-Virtumondo (McAfee), Win32/Vundo, Trojan.Vundo (Symantec), Win32/Vundo!generic, Win32.Vundo.A, TROJ_VUNDO.A (Trend),

病毒屬性：特洛伊木馬 

危害性：中等危害 

流行程度：中

病毒特性：

Win32/Vundo 是一種有惡意廣告行為的特洛伊病毒。

感染方式：

Vundo 的一些變體可能使用任意文件名，很多變體下載的原始文件是bkinst.exe文件。

Vundo變體在%Windows%的多個(gè)子目錄中生成并運(yùn)行病毒副本文件：

addins/、AppPatch/、assembly/、Config/、Cursors/、Driver Cache/、Drivers/、

Fonts/、Help/、inf/、java/、Microsoft.NET/、msagent/、Registration/、repair/、security/、

ServicePackFiles/、Speech/、system/、system32/、Tasks/、Web/、Windows Update Setup 、Files/、Microsoft/

文件名是任意生成的 .exe 文件。

例如：%Windows%\Cursors\wavedvd.exe

Vundo 變體修改以下注冊(cè)表啟動(dòng)部分鍵值，以確保在每次系統(tǒng)啟動(dòng)時(shí)運(yùn)行病毒文件：

鍵值名稱通常以 "*" 開(kāi)頭，例如：

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*MS Setup

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*WinLogon

Vundo 還會(huì)在%Temp%目錄中生成DLL文件，文件名是可運(yùn)行文件名稱字母的反順序，擴(kuò)展名為 .dat 。例如，如果生成的可運(yùn)行文件是wavedvd.exe，那么在%Temp%目錄中就會(huì)生成dvdevaw.dat文件。

這個(gè)DLL文件作為一個(gè)服務(wù)加載，用來(lái)保護(hù)病毒的主要運(yùn)行程序。DLL注入到系統(tǒng)中任意正在運(yùn)行的程序中，如果病毒的主要程序被發(fā)現(xiàn)并被終止，那么它就會(huì)利用加載DLL的程序從系統(tǒng)內(nèi)存中重新啟動(dòng)病毒文件。使用內(nèi)存中保存的病毒副本備份，重新生成被刪除的文件。

DLL 還會(huì)生成BHO (Browser Helper Object)，如以下注冊(cè)表鍵值：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

\{68132581-10F2-416E-B188-4E648075325A}

可運(yùn)行程序還會(huì)在當(dāng)前目錄中生成一個(gè)配置文件，文件名稱省略原文件的第一個(gè)字母，擴(kuò)展名為.ini 。例如，如果可運(yùn)行程序是dropper.exe，那么生成的配置文件名稱就為reppord.ini。

如果配置文件存在，那么Vundo 就會(huì)使用相同的文件名稱生成一個(gè)備份，擴(kuò)展名為.bak1 和 .bak2 。

危害

后門功能

Vundo 嘗試從virtumonde.com域下載并運(yùn)行文件，有些變體還會(huì)利用62.4.84.* IP范圍內(nèi)的服務(wù)器。

Vundo 打開(kāi)一個(gè)后門，從遠(yuǎn)程主機(jī)接收命令，執(zhí)行以下操作：

修改Windows hosts 文件，阻止用戶訪問(wèn)某些網(wǎng)站； 

◆顯示彈出窗口； 

◆添加/設(shè)置/獲取cookies； 

◆改變URL； 

◆下載文件； 

◆搜索瀏覽頁(yè)面查找關(guān)鍵字； 

◆修改注冊(cè)表鍵值； 

◆改變控制的主機(jī)地址； 

◆記錄、發(fā)送瀏覽到的數(shù)據(jù)； 

◆記錄用戶輸入/改變用戶輸入。

本周常見(jiàn)較活躍病毒列表及變體數(shù)量：

表1

其他近期新病毒的資料可參考：

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建議：

1、對(duì)于個(gè)人PC，重要的系統(tǒng)補(bǔ)丁應(yīng)及時(shí)安裝；對(duì)于企業(yè)用戶，應(yīng)加強(qiáng)補(bǔ)丁管理意識(shí)，尤其對(duì)服務(wù)器等重要系統(tǒng)應(yīng)盡早安裝；

2、不訪問(wèn)有害信息網(wǎng)站，不隨意下載/安裝可疑插件，并檢查IE的安全級(jí)別是否被修改；

3、使用KILL時(shí)注意及時(shí)升級(jí)到最新的病毒庫(kù)版本，并保持時(shí)時(shí)監(jiān)視程序處于開(kāi)啟狀態(tài)；

4、不要隨意執(zhí)行未知的程序文件；

5、合理的配置系統(tǒng)的資源管理器（比如顯示隱含文件、顯示文件擴(kuò)展名），以便能夠更快地發(fā)現(xiàn)異?，F(xiàn)象，防止被病毒程序利用；