2014年11月病毒病毒病毒病毒病毒病毒受感染系统的初步研究.docxVIP

2014年11月病毒病毒病毒病毒病毒病毒受感染系统的初步研究 1 传播途径为网络钓鱼,主要传播途径为网络钓鱼,单 2014年11月，国家计算机病毒应急处理中心在698.371个病毒中发现了病毒，比去年同期增加了21.7%，新增病毒110.663个，比去年同期增加10.8%，计算机感染45、317、811个，比去年同期增加3.8%。主要传播渠道仍然是“钓鱼网络”和“网络钓鱼”。如图1和图2所示。 2 恶意木马程序变形 1)11月出现一种蠕虫变种Worm_BEagle.EI,能够开辟新线程,创建套接字,监听网络连接请求。该变种运行后,将自身拷贝到受感染操作系统的指定文件夹中,并重命名。与此同时,该变种创建多个互斥对象,删除系统指定的注册表项,提升当前进程权限,添加自身程序到注册表启动项以实现开机启动。另外,该变种遍历所有非可移动磁盘,查找受感染操作系统中名字带有“shar”字样的目录,并将其拷贝到该目录下重命名为多个可执行文件等病毒文件,最终导致受感染操作系统被恶意程序控制。 2)11月出现一种恶意木马程序变种Trojan_Injector.MIQ。该变种运行后,会在受感染操作系统的指定目录下创建恶意文件,并设置其属性为只读、系统和隐藏。与此同时,该变种创建新的进程文件,在受感染操作系统注册表中新建启动键值项实现自启动,提升自身权限,创建进程快照。另外,该变种会迫使受感染操作系统主动连接访问指定的恶意网站网址,最终获取受感染操作系统的本机信息,随即发送到恶意攻击者指定的网站服务器上,致使受感染操作系统接受远程恶意代码指令。 3)11月出现一种恶意木马程序变种Trojan_Small.ONV,会提升自身当前权限,创建进程快照,创建远程进程。该变种运行后,会在受感染操作系统的指定目录下创建恶意文件,写入病毒数据。与此同时,该变种能够创建新进程,执行文件,如果打开文件成功,则新建注册表启动项实现自启动。另外,该变种会连接恶意攻击者指定的远程网站地址,下载其他的木马、病毒等恶意程序并保存到本地磁盘后执行。 4)11月出现一种恶意木马程序变种Trojan_Agent.OE,会遍历受感染操作的所有逻辑磁盘,并生成恶意程序感染磁盘。该变种运行后,首先会获取操作系统路径,判断自身是否存于系统目录下,如果不是则将自身拷贝到指定目录文件中运行。变种会打开受感染操作系统的服务控制管理器创建服务以实现开机自启动。与此同时,该变种能够获取受感染操作系统的缓存目录,将病毒文件移动重命名,并设置重启删除。另外,该变种会迫使受感染操作系统主动连接访问指定的恶意网站网址,最终变种可以获取受感染操作系统的本机信息(如 :计算机名、操作系统版本、系统驱动程序等),随即发送到恶意攻击者指定的网站服务器上,致使受感染操作系统接受远程恶意代码指令。