本期報告排名前十的病毒中有6位是基于Sirefef木馬家族的病毒，其一般通過篡改系統(tǒng)文件等， 引導(dǎo)用戶訪問他們預(yù)設(shè)的網(wǎng)站， 通過此種方式， 獲取廣告推廣傭金。G Data殺毒軟件(http://www.gdata-china.com)專家提醒大家，在病毒日益猖獗的今天，請安裝一款功能全面的殺毒軟件，更新病毒庫到最新。讓您的電腦，工作在一個安全的軟件環(huán)境中。

入榜病毒分析：

1、 Win32:DNSChanger-VJ [Trj]

此為Rootkit病毒的一部分，目的是保護其他病毒組件。例如，它可以阻止安全軟件升級更新。訪問網(wǎng)站主機將被解析為“本地主機”。這就有效的使其無法訪問。這也是此病毒為什么叫做“DNSChanger”，因為它操縱DNS協(xié)議。

2、Win64:Sirefef-A [Trj]

這個一個基于Sirefef木馬家族關(guān)于rootkit組件的檢測。此病毒用自身變量名自我復(fù)制.dll文件到Windows系統(tǒng)文件夾（/WINDOWS/system32）。此外，它還會修改其他幾個系統(tǒng)文件來掩飾Sirefef木馬病毒。其目的是，在網(wǎng)頁瀏覽器內(nèi)操控修改搜索引擎結(jié)果，來引導(dǎo)用戶點擊這些修改過的結(jié)果，從而可以獲取因點擊該網(wǎng)址而獲得的推廣費用。

3、Trojan.Sirefef.GY

這是一個基于Sirefef木馬家族針對64位系統(tǒng)，關(guān)于rootkit組件的檢測。木馬會在被感染系統(tǒng)的"%Windir%\Installer\U\{GUID}\"或"%Userdir%/%user%/AppData/Local/{GUID}/U" 下注入一個名為 "00000004.@" 的文件。這個文件會收集可以使用在其他Sirefet木馬組件上的資源數(shù)據(jù)。

4、Trojan.Sirefef.GA

這個一個基于Sirefef木馬家族關(guān)于rootkit組件的檢測。這個模塊文件被用于點擊廣告鏈接或類似的用途。其目的是，在網(wǎng)頁瀏覽器內(nèi)操控修改搜索引擎結(jié)果，來引導(dǎo)用戶點擊這些修改過的結(jié)果，從而可以獲取因點擊該網(wǎng)址而獲得的推廣費用。

5、Trojan.Sirefef.HK

這是一個基于Sirefef木馬家族針對64位系統(tǒng)，關(guān)于rootkit組件的檢測。經(jīng)常會在“%Windows%\Installer\{GUID}\U\”中加入一個 "80000032.@" 文件。這個32位的dll模塊會終止進程，下載文件同時并試圖連接本身的 URLs/Ips，監(jiān)控上網(wǎng)。它識別網(wǎng)頁瀏覽器。因此，它可以在網(wǎng)頁瀏覽器上，操縱搜索引擎結(jié)果，導(dǎo)致用戶點擊操縱的結(jié)果，因此攻擊者（支付每點擊廣告）產(chǎn)生金錢。

6、Trojan.Sirefef.HH

這是一個基于Sirefef木馬家族針對64位系統(tǒng)，關(guān)于rootkit組件的檢測。這個文件通常會在“%Windows%\Installer\U\{GUID}”中注入一個 "800000cb.@" 文件。這個組件會監(jiān)控系統(tǒng)文件，例如"svchost.exe" 并會在其中注入惡意代碼。因為這個組件用了比較先進的反debugging技術(shù)，所以為安全廠家分析增加了難度。

7、Win32:Atraps-PF [Trj]

這是一個基于Sirefef木馬家族關(guān)于rootkit組件的檢測。根據(jù)操作系統(tǒng)版本的文件被命名為“80000032.@”或“80000064.@”在“％WINDOWS％\安裝\ {GUID} \ U \”下可以找到。這個DLL模塊可以終止進程，下載文件，并試圖連接本身的URL/ IPS設(shè)置，監(jiān)控互聯(lián)網(wǎng)連接。

它可以識別并且可以操縱受感染操作系統(tǒng)的瀏覽器。從而操縱搜索引擎結(jié)果導(dǎo)致用戶點擊這些設(shè)置，并因此產(chǎn)生攻擊（支付每點擊廣告）金錢效益。

8、Generic.JS.Crypt1.C14787EE

Generic.JS.Crypt1.C14787EE是個基于JavaScript的惡意程序，可以根據(jù)時間在不同的網(wǎng)站顯示不同的圖片。由于這個不輕易被混淆，它很像是一個普通的顯示廣告的腳本程序。但它也會通過每次點擊廣告，賺錢費用。

9、Win32:Sirefef-AO [Rtk]

這是一個基于Sirefef木馬家族關(guān)于rootkit組件的檢測。這個文件經(jīng)常被命名為“800000cb.@”，可以在操作系統(tǒng)的多個地方找到。它可以識別并安裝網(wǎng)頁瀏覽器進行操作，以改變搜索引擎的結(jié)果。其主要意圖是引導(dǎo)用戶點擊這些網(wǎng)頁，因此攻擊者（支付每點擊廣告）產(chǎn)生金錢效益。

10、JS:Iframe-KV [Trj]

這是一個加載于成人網(wǎng)站的JavaScript惡意代碼。JavaScript會在遠程服務(wù)器在網(wǎng)頁中注入IFRAME指向到一個.php文件。這個php文件竊取用戶session令牌，然后設(shè)置cookies為被劫持狀態(tài)。當(dāng)?shù)顷慺acebook的時候，惡意程序會用一條短網(wǎng)址，發(fā)送到用戶墻上一條消息“Krist*n St€wart Was T*ap*d Dr*onk & Hav1ng S*ex!”吸引其他用戶點擊。