冠群金辰9月第1周报告：Rimecud蠕虫爱折腾

【51CTO.com 综合消息】本周总体病毒情况依然保持相对平稳的状态，未出现严重危害的病毒事件。在捕获病毒数量及种类上与前一周相比有所上升。病毒数量上升较多的是win32/gamepass家族的变体及一些病毒下载器程序。用户及时升级反病毒库即可处理。

本周关注的病毒家族：
病毒名称： Win32.Rimecud.AC
病毒别称：WORM_AUTORUN.DNR (Trend), W32/Autorun-AIC (Sophos), Proxy-Piky.dr (McAfee), W32.SillyFDC (Symantec), P2P-Worm.Win32.Palevo.ann (Kaspersky), Worm:Win32/Rimecud.B (MS OneCare)
病毒属性：蠕虫病毒
危害性：中 
流行程度：中

病毒特性：
Win32/Rimecud.AC 是一种蠕虫病毒，能够通过可移动驱动器，MSN和P2P共享文件夹进行传播。

感染方式：
 当病毒文件被执行后，Win32/Rimecud.AC生成以下文件：
C:\RECYCLER\{Random CLSID}\hdav.exe

随后病毒生成以下注册表键值，在每次系统启动时运行病毒文件：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\xxx
Taskman = "C:\RECYCLER\{Random CLSID}\hdav.exe"

传播方式：

通过可移动驱动器传播
Win32/Rimecud.AC 通过可移动驱动器（例如USB）进行传播。它还会在可移动驱动器上生成"Autorun.inf"和"usbv.exe"文件。

通过网络传播
Win32/MahsaP2P.A 复制New Folder.exe文件到它能找到的任意共享文件夹中。

通过P2P文件共享传播
Win32/Rimecud.AC 在以下P2P （点对点）软件的共享目录中生成任意名称的病毒副本。文件名来源于这些共享目录中现有的文件。Ares、BearShare、iMesh、Shareaza、Kazaa、DCPlusPlus、eMule、LimeWire

通过MSN传播
Win32/Rimecud.AC 还会通过MSN进行传播，它会给用户所有在线的联系人发送一个链接。当用户点击这个链接时，他们就会在不知情的情况下下载一个任意名称的病毒副本。

危害：
后门功能
作为一个后门服务器；
执行SYN Flooding攻击；
执行端口扫描。

   本周常见较活跃病毒列表及变体数量：

其他近期新病毒的资料可参考：
http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建议：

1、对于个人PC，重要的系统补丁应及时安装；对于企业用户，应加强补丁管理意识，尤其对服务器等重要系统应尽早安装；
2、不访问有害信息网站，不随意下载/安装可疑插件，并检查IE的安全级别是否被修改；
3、使用KILL时注意及时升级到最新的病毒库版本，并保持时时监视程序处于开启状态；
4、不要随意执行未知的程序文件；
5、合理的配置系统的资源管理器（比如显示隐含文件、显示文件扩展名），以便能够更快地发现异常现象，防止被病毒程序利用；