时间:2010-08-14 | 栏目:安全播报 | 点击:次
本周的总体病毒状况继续保持相对平稳,一周统计的病毒数量与前周相比继续保持少量增长的状况,未知的新样本数量亦少量增长。暂未发现危害较严重的新型病毒样本。从目前分析结果来看,新出现样本以木马类为主,其中较大数量是盗号类木马变体或者新型的下载类木马。对于近期受到较多关注的微软Windows帮助0day漏洞,虽然微软官方统计有上升趋势,但国内目前尚未发现此漏洞被大规模被利用的情况。
一周关注病毒:
病毒名称: Win32.MailFind.A邮件木马
病毒别称:Bancos JWD (CA Anti-Spyware), Troj/FakeAle-FO (Sophos), TROJ_MAILFIND.C (Trend), Trojan-Mailfinder.Win32.Agent.rj (Kaspersky)
病毒属性:特洛伊木马
危害性:中等危害
流行程度:低
病毒特性:
Win32/MailFind.A 是一种特洛伊病毒,在被感染机器上收集邮件地址,并上传到远程服务器。此类邮件病毒近期有增多趋势。
感染方式:
Win32/MailFind.A 通常被其它恶意程序安装,或者通过其他来源可疑的软件包随同安装到目标系统。
病毒文件被运行时,Win32/MailFind.A在%Program Files%\Microsoft Common目录中生成"svchost.exe"文件,并在同一目录中生成"emails.dat" 和 "log.dat"文件。
注:%Program Files%是一个可变路径。病毒通过查询操作系统来决定当前Program Files文件夹的位置。一般在以下位置C:\Program Files。
危害:
获取邮件地址
特洛伊运行后,会扫描系统搜索邮件地址。它搜索文件中包含"@"字符串的以下扩展名的文件:
.dbx
.ini
.lnk
.log
.txt
.url
.vbs
它将发现的信息记录并保存到"Emails.dat"文件中。
Win32/MailFind.A在机器中生成一个搜索邮件地址的目录文件。它将文件名、相应的完整路径保存到"log.dat"文件中。注:特洛伊一般都会排除'Windows'和'Program Files'目录。
MailFind将所有收集到的信息上传到www.samafox.com域的一台远程服务器上。
其它信息
Win32/MailFind.A 还会生成"Finder.exe" 或 "whlp32.exe"文件。
本周常见病毒类表: