Backdoor.Weevil.B
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Weevil.B是一个木马,它在受感染计算机上打开一个后门,并窃取信息。
木马执行时,它会创建下列文件:
%Temp%\___<RANDOM NUMBER>.tmp
%System%\awcodc32.dll
%System%\awdcxc32.dll
%System%\bootfont.bin
%System%\jpeg1x32.dll
%System%\mfcn30.dll
%System%\vchw9x.dll
%System%\Drivers\scsimap.sys
%System%\c_50225.nls
%System%\c_50227.nls
%System%\c_50229.nls
%System%\Bootfont.bin
该木马会创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnablePrefetcher = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\DisplayName = “scsimap”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\ErrorControl = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\ImagePath = “System32\DRIVERS\scsimap.sys”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Start = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Type = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\0 = "Root\LEGACY_SCSIMAP\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\Count = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\NextInstance = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Security\Security = <standard 0xA8 bytes>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Params\Value = <0xAEB8 bytes>
然后,木马在计算机上打开一个后门,并连接到以下远程地址之一:
nthost.shacknet.nu
www.covalent.com
81.0.233.15
接着,木马会窃取以下信息:
操作系统信息、硬件特性、用户信息、进程、网络通信
之后,木马还可以执行以下操作:
嗅探网络流量、击键记录、监视磁盘活动
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Shadowlock.B
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Shadowlock.B是一个木马,它在受感染计算机上弹出窗口,要求赎金。
该木马执行时,会创建下列注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mshost" = "[DRIVE LETTER]:\[CURRENT DIRECTORY]\[TROJAN FILE NAME].exe"
它还修改下列注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = dword:00000000
然后,木马结束以下进程:
Explorer、taskmgr、regedit、cmd、Msconfig、rstrui、Skype
木马会显示以下消息,要求用户填写,满足要求后可以提供用户下载一个文件解锁计算机:
木马实际上并没有锁定计算机,只是结束了之前提到的进程。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Fakebok
警惕程度 ★★★
影响平台:Android
Android.Fakebok是一个木马,它用受感染的设备发送短信到额外的号码。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.facebook
APK: facebookx.apk
Version: 1.0
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
打开网络连接、发送短信、检查手机当前状态、关于网络访问信息、写入到外部存储设备
3.安装
一旦安装完毕,应用程序会显示以下图标:
4.功能:
木马执行时,会显示一条信息,告知用户更新应用程序:
当用户选择更新按钮时,木马发送以下短信道8738:
SMS 1: KPAH 1 [FIVE DIGIT NUMBER] facebook
SMS 2: KPAH 2 [FIVE DIGIT NUMBER] facebook
SMS 3: MGO 2 [FIVE DIGIT NUMBER] facebook
该木马可以连接到下面的远程地址,用来更新发送的短信内容和额外的电话号码列表:
[http://]service.10h.vn:8080/mbv-game[REMOVED]
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒中国好歌曲类钓鱼网站:http://www.gqttr.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒快乐男声类钓鱼网站:http://muutcae.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒中国好声音类钓鱼网站:http://www.zghsywrthk.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://icbcna.cn.com/icbc/icbc.php,危害:骗取用户银行卡号及密码。
假冒建设银行类钓鱼网站:http://147.255.108.80/app/ccbMain/,危害:骗取用户银行卡号及密码。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://hmerp.**222.org
http://aoshuntong56.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供