Trojan.Coinstealer
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Coinstealer是一个木马,在受感染计算机上窃取信息。
该木马同时可以感染Windows系统和Mac OS X系统的计算机。
Windows系统计算机:
木马执行时,会创建以下文件夹:
%Temp%\TibanneSocket.exe
%Temp%\revsecurity.dll
然后木马搜索以下文件:
%UserProfile%\Application Data\Bitcoin\bitcoin.conf
%UserProfile%\Application Data\Bitcoin\wallet.dat
Mac OS X系统计算机:
木马搜索以下文件:
/Library/Application Support/Bitcoin/bitcoin.conf
/Library/Application Support/Bitcoin/wallet.dat
以上2个操作系统:
木马将文件复制到以下远程地址:
[http://]82.118.242.145/cgi-bin/conf[REMOVED]
[http://]82.118.242.145/cgi-bin/sync[REMOVED]
然后,木马从Windows系统的计算机上自行删除。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Tsyrval
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Tsyrval是一个木马,它发送系统信息倒远程地址。
该木马通过利用漏洞传播。
该木马执行时,会创建以下文件:
%Temp%\[SIX RANDOM DIGITS]
%AllUsersProfile%\Application Data\Intel\buuu.dat
%AllUsersProfile%\Application Data\Intel\Data\Dtl.dat
%AllUsersProfile%\Application Data\Intel\Data\glp.uin
%AllUsersProfile%\Application Data\Intel\ResN32.dat
%AllUsersProfile%\Application Data\Intel\ResN32.dll
%AllUsersProfile%\Application Data\Intel\rundll32.exe
%AllUsersProfile%\Application Data\Intel\~1
%AllUsersProfile%\Application Data\Intel\~y.dll
%AllUsersProfile%\Documents\My Document\Dtl.dat
%AllUsersProfile%\Documents\My Document\glp.uin
%AllUsersProfile%\Documents\My Document\update\donhi.dat
%AllUsersProfile%\Documents\My Document\update\sleptr.dat
%AllUsersProfile%\Documents\My Document\update\stage.dat
木马会创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"LoadAppInit_DLLs" = 0x00000001
木马还会修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "%AllUsersProfile%\APPLIC~1\Intel\ResN32.dll"
木马将系统信息发送到以下域:
tsrvall.microsoft-centre.com
tsrvall01.norton-update.com
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Trensil
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Trensil是一个木马,它在受感染计算机上打开一个后门,并窃取信息。
该木马通过特定的PDF文件,利用漏洞传播。
该木马执行时,会创建以下文件:
%Temp%\000ELISEA310.TMP
%UserProfile%\Templates\1A0E621SV.CAB
%UserProfile%\Templates\wincex.dll
%UserProfile%\Templates\wincex.dllbk
木马会创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM
木马还会创建以下服务:
Service Name: WmdmPMM
木马连接到以下远程地址:
112.185.190.193
163.30.24.5
木马还可以执行以下操作:
从远程地址接受攻击者指令、将信息发送到远程地址
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒中国梦想秀类钓鱼网站:http://vo.usa21.wangyuwu.com/,危害:虚假中奖信息,诱骗用户钱财。
假冒中国好声音类钓鱼网站:http://www.zjtvshpe.com/,危害:虚假中奖信息,诱骗用户钱财。
假冒网游交易类钓鱼网站:http://azhan2000.com/,危害:虚假交易,骗取用户钱财。
假冒快乐男声类钓鱼网站:http://www.muutcwk.com/,危害:虚假中奖信息,诱骗用户钱财。
假冒工商银行类钓鱼网站:http://update.lcbc-cn.com/,危害:骗取用户银行卡号及密码。
挂马网站提示:
http://jump.**666.org
http://wxnwan.**222.org
http://hj688.**222.org
http://wttk.**222.org
http://909tk.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供