Trojan.Droidpak
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Droidpak是一个木马,它在受感染计算机上下载一个恶意的APK安装文件,并自动安装到任意链接到计算机上的安卓设备。
木马执行时,它创建以下文件:
%System%\flashmx32.xtl
木马还创建以下文件夹:
%Windir%\CrainingApkConfig
然后,木马创建以下属性的服务:
Startup Type: Automatic
Image Path: %SystemRoot%\system32\svchost -k flashmx
Display Name: Object Update Monitor
木马为了登记上述服务,创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashmx
然后,木马连接到以下远程地址下载一个配置文件:
[http://]xia2.dyndns-web.com/iconf[REMOVED]
然后,木马利用包含在配置文件中的一个URL链接下载一个文件,并保存到以下位置:
%Windir%\CrainingApkConfig\AV-cdk.apk (Android.Fakebank.B)
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Miuref
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Miuref是一个木马,它在受感染计算机上下载恶意文件,并利用受感染的计算机进行点击欺诈。
该木马是通过Hancom Word中的漏洞被安装。
木马执行时,它创建以下文件:
%UserProfile%\Local Settings\Application Data\UQmedia\BluetoothUtilperf.1
%UserProfile%\Administrator\Local Settings\Application Data\UQmedia\BluetoothUtilperf.dll
%Temp%\rs.dat
%Temp%\rzkxixls.exe
%Temp%\setup.dat
木马为了达到开机启动的目的,创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"UQmedia" = "regsvr32.exe "%UserProfile%\Administrator\Local Settings\Application Data\UQmedia\BluetoothUtilperf.dll""
木马还会创建以下注册表子项:
HKEY_CURRENT_USER\Software\UQmedia
木马连接到下列远程地址:
176.9.245.16
木马还可能下载其他的恶意文件,并使用受感染的计算机进行点击欺诈。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Hehe
警惕程度 ★★★
影响平台:Android
Android.Hehe是一个木马,它阻止安卓设备上的来电和短信,并从受感染的设备上窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
com.google.android.v54
com.google.android.v54new
Name: android.security.component
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
监测,读,写并创建新的短信、打开网络连接、检查手机的当前状态、读取外部存储、使手机震动、装载或卸载可移动存储上的文件、关于网络访问信息、发起电话呼叫、允许访问低级别的电源管理、读取用户联系人数据、创建新的联系人数据、关于无线网络状态信息的访问、写入外部存储设备、安装软件包、接入位置信息,如小区ID或wifi、接入位置信息,如GPS信息、改变wifi连接状态
3.安装
一旦安装完毕,应用程序会显示以下图标:
4.功能:
木马伪装成安卓的安全软件。
一旦木马执行,它会显示一个页面,告诉用户该软件是最新版本:
该木马从应用程序页面隐藏其图标。
接下来,它连接一个C&C服务器,以便接受电话号码列表,如果木马检测到它是在模拟器中运行,它不会连接C&C服务器。
木马监视设备上的电话和短信。如果收到电话和短信,木马会抑制安卓设备显示通知,并删除设备上的日志信息或被调用的痕迹。
封锁的短信都记录在一个内部数据库中,并上传到C&C服务器。
该木马具有自我更新的能力。
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒中国梦想秀类钓鱼网站:http://11889aaf.jjkzkj3637.8800.org/,危害:虚假中奖信息,诱骗用户汇款。
假冒直通春晚类钓鱼网站:http://www.zztcw2014.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒中国好声音类钓鱼网站:http://hsyihsy.com/,危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://www.icwin7.pw/,危害:骗取用户银行卡号及密码。
假冒中国好歌曲类钓鱼网站:http://www.kwxu59.com/,危害:虚假中奖信息,诱骗用户汇款。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://shiyanyiyuan.**666.org
http://nono126.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供