Trojan.Yather
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Yather是一个木马,在受感染计算机上下载并执行恶意文件。
木马执行时,会创建以下文件夹:
%UserProfile%\Application Data\sjacdasbweourvn
木马还会创建以下文件:
%UserProfile%\Application Data\sjacdasbweourvn\kruohrflnh.exe
%UserProfile%\Application Data\sjacdasbweourvn\nymgtpoqc.exe
然后,木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Application Locator Session Logs Redirector" = "%UserProfile%\Application Data\sjacdasbweourvn\nymgtpoqc.exe"
然后,木马会连接到以下远程地址:
[http://]captainstrong.net/forum/searc[REMOVED]
然后,木马还可以执行以下活动:
从远程地址下载并执行文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Bukflash
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Bukflash是一个木马,它在受感染计算机上访问社会媒体。
该木马执行时,会创建以下文件:
%ProgramFiles%\Flash\first.crx
木马会创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\eloiobpkhmhigoanlnojhnacenlkjaad
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eloiobpkhmhigoanlnojhnacenlkjaad
木马还会创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\eloiobpkhmhigoanlnojhnacenlkjaad\"version" = "1.0.4"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eloiobpkhmhigoanlnojhnacenlkjaad\"version" = "1.0.4"
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\eloiobpkhmhigoanlnojhnacenlkjaad\"path" = "%ProgramFiles%\Flash\first.crx"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eloiobpkhmhigoanlnojhnacenlkjaad\"path" = "%ProgramFiles%\Flash\first.crx"
木马还可以执行以下操作:
获得用户的社交媒体内的个人资料,照片和个人信息、下载并执行文件、试图将用户访问页面重定向到其他网页
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.iBanking
警惕程度 ★★★
影响平台:Android
Android.iBanking是一个木马,它在受感染的设备上打开一个后门,窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.BioTechnology.iClientsService[NUMBER]
Version: 1.0
Name: antivirus.apk
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
关于网络的访问信息、关于无线网络的访问信息、GPS信息、改变网络连接状态、更改无线连接状态、检查手机当前状态、发起电话呼叫、修改全局音频设置、打开网络连接、阅读和创建联系人数据、读取,监视,创建和发送短信、自动启动、使用设备的麦克风录制音频、写入外部存储设备
3.安装
一旦安装完毕,应用程序会显示以下图标:
4.功能:
该木马伪装成手机的杀毒应用。
一旦执行,木马发送以下信息到号码79091029020:
i am [SIM SERIAL NUMBER]
接着,该木马会检查有效地数据连接,如果成功,它会发送以下的HTTP POST带控制域:
[http://]sendtwitter.com/iBanking/sms/inde[REMOVED]
该木马会在受感染设备上打开一个后门,并执行以下操作:
窃取短信、录音电话、检索设备信息
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒中国好歌曲类钓鱼网站:http://cctkgg.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒医药类钓鱼网站:http://m.sood58.com/,危害:出售假药,骗取用户钱财。
假冒网游交易类钓鱼网站:http://j4h.0e.hk3huf7mc.com,危害:骗取用户淘宝帐号、密码及钱款。
假冒中国好声音类钓鱼网站:http://www.zjtvsvnz.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://www.icbckvc.com/,危害:骗取用户银行卡号及密码。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://wttk.**222.org
http://aoshuntong56.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供