Backdoor.Sinpid
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Downloader.Blackbeard是一个木马,它在受感染计算机上打开一个后门。
木马执行时,木马会创建以下文件:
%UserProfile%\Application Data\Microsoft\MMC\MMC.exe
然后,木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mmc" = "%UserProfile%\Application Data\Microsoft\MMC\mmc.exe"
木马连接到以下远程地址:
[http://]cpanel.anydns.com/commo[REMOVED]
木马还可以执行以下操作:
上传和下载文件、创建新进程、自动更新、卸载自身
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Rhubot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Rhubot是一个木马,它利用受感染计算机执行DDoS攻击。
该木马执行时,会创建以下文件:
%UserProfile%\Application Data\msup1.exe
%UserProfile%\Application Data\msup10.exe
%UserProfile%\Application Data\msup11.exe
%UserProfile%\Application Data\msup12.exe
%UserProfile%\Application Data\msup13.exe
%UserProfile%\Application Data\msup14.exe
%UserProfile%\Application Data\msup15.exe
%UserProfile%\Application Data\msup16.exe
%UserProfile%\Application Data\msup17.exe
%UserProfile%\Application Data\msup18.exe
%UserProfile%\Application Data\msup19.exe
%UserProfile%\Application Data\msup2.exe
%UserProfile%\Application Data\msup20.exe
%UserProfile%\Application Data\msup3.exe
%UserProfile%\Application Data\msup4.exe
%UserProfile%\Application Data\msup5.exe
%UserProfile%\Application Data\msup6.exe
%UserProfile%\Application Data\msup7.exe
%UserProfile%\Application Data\msup8.exe
%UserProfile%\Application Data\msup9.exe
然后,木马创建下面的注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup1.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup10.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup11.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup12.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup13.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup14.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup15.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup16.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup17.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup18.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup19.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup2.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup20.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup3.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup4.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup5.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup6.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup7.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup8.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\msup9.exe"
木马连接到下列远程地址:
vsehnahuy.com
blog32.ru
tryboots.ru
91.226.127.175
teleon2.ru
aktualisieren-soft.ru
然后,木马还可以执行以下操作:
检索目标网站列表、利用受感染的计算机进行DDoS攻击
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Nancrat
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Cidox.C是一个木马,它在受感染计算机上打开一个后门,并窃取信息。
木马执行时,会创建以下文件:
%UserProfile%\Application Data\5A67D756-5897-45F9-A64B-4168421A5D5E\run.dat
然后,木马会将自身复制到以下位置之一:
%ProgramFiles%\DHCP Manager\dhcpmgr.exe
%ProgramFiles%\UDP Monitor\udpmon.exe
%ProgramFiles%\DNS Host\dnshost.exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"DHCP Manger" = "%ProgramFiles%\DHCP Manager\dhcpmgr.exe"
木马会从受感染计算机收集以下信息:
计算机名、CUP和RAM使用情况、活动的窗口、IP地址、操作系统信息
木马将收集到的信息发送给C&C服务器。
木马在受感染计算机上打开后门,允许攻击者执行以下操作:
传输和执行文件、输入并执行命令、编辑注册表、利用受感染计算机作为代理、访问网络摄像头、访问麦克风、查看桌面、创建即时消息窗口、更新木马、管理正在运行的进程
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒网游交易类钓鱼网站:http://ypps.opymx66.com;危害:虚假交易,骗取用户钱财。
假冒建设银行类钓鱼网站:http://103.245.211.16/app/ccbMain/;危害:骗取用户银行卡号及密码。
假冒医药类钓鱼网站:http://www.bucuou.com/;危害:虚假药品,骗取用户钱财。
假冒购物类钓鱼网站:http://www.5shang.com.cn/;危害:虚假信息,骗取用户钱财。
假冒工商银行类钓鱼网站:http://103.229.126.76/index.htm;危害:骗取用户银行卡号及密码。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供