Trojan.Cryptolocker.D
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Cryptolocker.D是一个木马,它加密受感染计算机上的文件,然后提示用户购买解密的密钥。
木马执行时,它会创建下列文件:
C:\Documents and Settings\All Users\Application Data\1AD9295D91.exe
C:\Documents and Settings\All Users\Application Data\1AD9295D91.img
C:\Documents and Settings\All Users\Application Data\Adobe\Acrobat\9.0\JavaScripts\glob.js
该木马会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"1AD9295D91" = "C:\Documents and Settings\All Users\Application Data\1AD9295D91.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"*1AD9295D91" = "C:\Documents and Settings\All Users\Application Data\1AD9295D91.exe"
HKEY_CURRENT_USER\Software\1AD9295D91\Keys\"Wallpaper" = "%DownloadedData%"
HKEY_CURRENT_USER\Software\1AD9295D91\Keys\"Public" = "%DownloadedData%"
HKEY_CURRENT_USER\Software\1AD9295D91\Files\"(default)" = ""
然后,木马连接到以下远程地址:
[http://]cabin.su[REMOVED]
接着,木马加密以下文件扩展名的文件:
.doc、.xls、.ppt、.wb2、.jpg、.gif、.png
之后,木马会在桌面跳出一个提示框,告诉计算机用户,他们的文件已经被加密,要求用户购买解密所需的私钥才能解密。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Darkmoon
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Darkmoon是一个木马,它在受感染计算机上打开一个后门,并记录键盘击键记录。
该木马执行时,会创建下列文件:
%System%\Yxgunlzu.d1l
%System%\drivers\Yxgunlzu.sys
%Windir%\@@@\___.exe
%Windir%\@@@\mydll.exe
%Windir%\@@@\win32.exe
%Windir%\win32log.dat
%Temp%\~MS[RANDOM CHARACTERS].doc
%Temp%\~$~MS[RANDOM CHARACTERS].doc
它还创建下列文件夹:
%Windir%\@@@\plugins
然后,木马创建下列注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft" = "%Windir%\@@@\win32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters\"ServiceDll" = "%System%\Yxgunlzu.d1l"
木马还创建以下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Yxgunlzu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YXGUNLZU
木马将文件%System%\Yxgunlzu.d1l注入到iexplore.exe进程。
木马将驱动%System%\drivers\Yxgunlzu.sys作为一个rootkit。
木马记录窗口标题和击键记录,保存到以下文件:
%Windir%\@@@\[DATE].txt
木马还会打开TCP端口的6868和7777作为后门,等待远程攻击者的指令。
该后门允许远程攻击者执行以下操作:
窃取系统信息、窃取网络信息、下载,上传并执行文件、打开并关闭光驱、发送电子邮件、执行cmd或者command.com
木马尝试打开文档%Temp%\~MS[RANDOM CHARACTERS].doc
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Phimdropper
警惕程度 ★★★
影响平台:Android
Android.Phimdropper是一个木马,它拦截安卓设备收到的SMS消息,并且发送该消息给远程攻击者。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.vn.thegioididong.phim18
APK: com.vn.thegioididong.phim18_1.0.1.apk
Version: 1.0.1
Name: Phim 18
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
自动启动、打开网络连接、有关网络的访问信息、检查手机当前状态、写入到外部存储设备、防止手机休眠
3.安装
一旦安装完毕,应用程序会显示以下图标:
4.功能:
木马伪装成一个应用程序,并包含成人内容:
该木马会诱骗用户从以下网址下载其他恶意apk:
[http://]vaiae.com:8889
下载的APK可以执行以下操作:
发送短消息、下载新的apk程序、根据电话号码的黑名单拦截受到的短信、在设备的管理员权限下运行自身,使木马难以卸载
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒中国好歌曲类钓鱼网站:http://www.zphgq.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒爸爸去哪儿类钓鱼网站:http://www.babaac.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒我是歌手类钓鱼网站:http://www.kkgsw.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://ddeerrff1.tk/pay/gong/,危害:骗取用户银行卡号及密码。
假冒支付宝类钓鱼网站:http://ddeerrff.tk/pay/index.asp,危害:骗取用户银行卡号及密码。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://hmerp.**222.org
http://nono126.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供