本期报告排名前十的病毒中有6位是基于Sirefef木马家族的病毒，其一般通过篡改系统文件等， 引导用户访问他们预设的网站， 通过此种方式， 获取广告推广佣金。G Data杀毒软件(http://www.gdata-china.com)专家提醒大家，在病毒日益猖獗的今天，请安装一款功能全面的杀毒软件，更新病毒库到最新。让您的电脑，工作在一个安全的软件环境中。

入榜病毒分析：

1、 Win32:DNSChanger-VJ [Trj]

此为Rootkit病毒的一部分，目的是保护其他病毒组件。例如，它可以阻止安全软件升级更新。访问网站主机将被解析为“本地主机”。这就有效的使其无法访问。这也是此病毒为什么叫做“DNSChanger”，因为它操纵DNS协议。

2、Win64:Sirefef-A [Trj]

这个一个基于Sirefef木马家族关于rootkit组件的检测。此病毒用自身变量名自我复制.dll文件到Windows系统文件夹（/WINDOWS/system32）。此外，它还会修改其他几个系统文件来掩饰Sirefef木马病毒。其目的是，在网页浏览器内操控修改搜索引擎结果，来引导用户点击这些修改过的结果，从而可以获取因点击该网址而获得的推广费用。

3、Trojan.Sirefef.GY

这是一个基于Sirefef木马家族针对64位系统，关于rootkit组件的检测。木马会在被感染系统的"%Windir%\Installer\U\{GUID}\"或"%Userdir%/%user%/AppData/Local/{GUID}/U" 下注入一个名为 "00000004.@" 的文件。这个文件会收集可以使用在其他Sirefet木马组件上的资源数据。

4、Trojan.Sirefef.GA

这个一个基于Sirefef木马家族关于rootkit组件的检测。这个模块文件被用于点击广告链接或类似的用途。其目的是，在网页浏览器内操控修改搜索引擎结果，来引导用户点击这些修改过的结果，从而可以获取因点击该网址而获得的推广费用。

5、Trojan.Sirefef.HK

这是一个基于Sirefef木马家族针对64位系统，关于rootkit组件的检测。经常会在“%Windows%\Installer\{GUID}\U\”中加入一个 "80000032.@" 文件。这个32位的dll模块会终止进程，下载文件同时并试图连接本身的 URLs/Ips，监控上网。它识别网页浏览器。因此，它可以在网页浏览器上，操纵搜索引擎结果，导致用户点击操纵的结果，因此攻击者（支付每点击广告）产生金钱。

6、Trojan.Sirefef.HH

这是一个基于Sirefef木马家族针对64位系统，关于rootkit组件的检测。这个文件通常会在“%Windows%\Installer\U\{GUID}”中注入一个 "800000cb.@" 文件。这个组件会监控系统文件，例如"svchost.exe" 并会在其中注入恶意代码。因为这个组件用了比较先进的反debugging技术，所以为安全厂家分析增加了难度。

7、Win32:Atraps-PF [Trj]

这是一个基于Sirefef木马家族关于rootkit组件的检测。根据操作系统版本的文件被命名为“80000032.@”或“80000064.@”在“％WINDOWS％\安装\ {GUID} \ U \”下可以找到。这个DLL模块可以终止进程，下载文件，并试图连接本身的URL/ IPS设置，监控互联网连接。

它可以识别并且可以操纵受感染操作系统的浏览器。从而操纵搜索引擎结果导致用户点击这些设置，并因此产生攻击（支付每点击广告）金钱效益。

8、Generic.JS.Crypt1.C14787EE

Generic.JS.Crypt1.C14787EE是个基于JavaScript的恶意程序，可以根据时间在不同的网站显示不同的图片。由于这个不轻易被混淆，它很像是一个普通的显示广告的脚本程序。但它也会通过每次点击广告，赚钱费用。

9、Win32:Sirefef-AO [Rtk]

这是一个基于Sirefef木马家族关于rootkit组件的检测。这个文件经常被命名为“800000cb.@”，可以在操作系统的多个地方找到。它可以识别并安装网页浏览器进行操作，以改变搜索引擎的结果。其主要意图是引导用户点击这些网页，因此攻击者（支付每点击广告）产生金钱效益。

10、JS:Iframe-KV [Trj]

这是一个加载于成人网站的JavaScript恶意代码。JavaScript会在远程服务器在网页中注入IFRAME指向到一个.php文件。这个php文件窃取用户session令牌，然后设置cookies为被劫持状态。当登陆facebook的时候，恶意程序会用一条短网址，发送到用户墙上一条消息“Krist*n St€wart Was T*ap*d Dr*onk & Hav1ng S*ex!”吸引其他用户点击。