Trojan.Vikadclick
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Vikadclick是一个木马,它在受感染计算机上执行点击欺诈的活动。
木马执行时,木马会创建以下文件:
%System%\[5 TO 7 RANDOM DIGITS].[3 RANDOM LETTERS]
%UserProfile%\Application Data\locallow\[RANDOM CHARACTERS].dll
%System%\sysprep\cryptbase.dll
%UserProfile%\Application Data\roaming\[RANDOM CHARACTERS].dll
然后,木马会删除以下文件:
%System%\rpcss.dll
%System%\dllcache\rpcss.dll
然后,木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\"Name" = "[TROJAN PATH]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\"ID" = [RANDOM DIGIT]
该木嘛可以进行点击欺诈活动。
木马连接到以下远程服务器:
[http://]asgardmen.com
[http://]azogroman.com
[http://]5.79.86.97
[http://]goeorhbmsd.com
[http://]5.79.86.98
[http://]qwertyport.com
[http://]88.150.180.37
[http://]ramatuar12.com
[http://]futurama88.com
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Rapidstealer
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Rapidstealer是一个木马,它从受感染计算机上窃取信息。
木马通过和以下文件打包被下载到计算机:
Ultrasurf
GerdooVPN
Psiphon
该木马执行时,会创建以下文件:
%UserProfile%\Application Data\IntelRapidStart\DelphiNative.dll
%UserProfile%\Application Data\IntelRapidStart\IntelRS.exe.config
%UserProfile%\Application Data\IntelRapidStart\AppTransferWiz.dll
%UserProfile%\Application Data\IntelRapidStart\IntelRS.exe
%UserProfile%\Application Data\IntelRapidStart\RapidStartTech.stl
然后,木马创建下面的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"IntelRapidStart"=%UserProfile%\Application Data\IntelRapidStart\IntelRS.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"IntelRapidStart"=%UserProfile%\Application Data\IntelRapidStart\IntelRS.exe
木马从计算机上窃取以下信息:
截屏、关键日志、剪贴板数据、计算机名、用户名、安装的应用程序、IP地址、开放的端口、语言设置、进程列表、网页浏览器上的用户凭证、书签、cookies、代理设置等
木马将窃取的信息上传到下列远程服务器之一:
intel-update.com
ultrasms.ir
account-verify.net
secure.sitanetwork.tk
88.150.227.197
windows.update-mirror.com
然后,木马从上述服务器上下载自己的更新包。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病
Backdoor.Padpin
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Padpin是一个木马,它在受感染计算机上打开一个后门,主要针对ATM设备。
木马执行时,会创建以下文件,文件放置在受感染计算机上的任意文件夹内:
[PATH TO THREAT]\ulssm.exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"ulssm.exe" = "[PATH TO THREAT]\ulssm.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ulssm.exe" = "[PATH TO THREAT]\ulssm.exe"
木马会在后台运行,直到一个特定的代码输入ATM机上的密码键盘:
木马在受感染计算机上打开后门,允许攻击者执行以下操作:
从受感染的ATM机上吐钞、选择需要的ATM机信息、显示ATM机中金额剩余,面额,及总数、暂时禁用本地网络,以免触发惊爆、延长会话的持续时间、从受感染的ATM机上删除木马
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒中国好歌曲类钓鱼网站:http://ghktryr.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒百变大咖秀类钓鱼网站:http://www.v9800vv.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒中国好声音类钓鱼网站:http://www.seiox33.com;危害:虚假中奖信息,诱骗用户汇款。
假冒医药类钓鱼网站:http://m.hueiwei.com/;危害:出售假药,骗取用户钱财。
假冒淘宝类钓鱼网站:http://www.12333ok.cn/data/safe/taobao.php;危害:骗取用户淘宝帐号、密码及钱款。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供