计算机病毒预报（2014年01月20日至2014年01月26日）

Trojan.Turla
警惕程度 ★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
Trojan.Turla是一个木马，它在受感染计算机上打开一个后门，并窃取信息。
木马执行时，它创建以下文件：
%CurrentFolder%\SPUNINST\vt.bin、%Windir%\resin.bin
%System%\vtmon.bin、%System%\drivers\mrxdmb.sys
%System%\drivers\nmnu.sys、%Windir%\$NtU*\mtmon.sdb
%Windir%\$NtU*\scmp.bin、%Windir%\$NtU*\cmp.bin
木马创建以下注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\Select\"Default" = "01"
HKEY_LOCAL_MACHINE\SYSTEM\Select\"LastKnownGood" = "01"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"DisplayName"= "nmnu"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"ImagePath" = "%System%\drivers\nmnu.sys"
然后，木马创建以下属性的服务：
Service name: mrxdmb、Image Path: %System%\drivers\mrxdmb.sys
然后，木马连接到以下任一远程命令与控制服务器：
nightday.comxa.com、sanky.sportsontheweb.net
tiger.netii.net、north-area.bbsindex.com
木马还执行以下操作：
在受感染的计算机上打开一个后门、收集和加密敏感信息、发送文件到C&C服务器、加载受感染计算机上的文件、添加新的C&C服务地址到注册表、更新自身的驱动程序、添加一个代理、终止进程、将数据写入到一个日志文件
预防和清除：
不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Downloader.Mansain
警惕程度 ★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
Downloader.Mansain是一个木马，它在受感染计算机上下载并执行潜在的恶意文件。
该木马是通过Hancom Word中的漏洞被安装。
木马执行时，它创建以下文件：
%Temp%\ms_1.tmp、%Temp%\~AA.tmp、%Temp%\~AA[RANDOM CHARACTERS].tmp
%UserProfile%\Application Data\dxdiag\dxdialog.dll、%Windir%\dxset.exe
木马从以下位置下载并执行文件：[ftp://]66.220.9.50[REMOVED]
预防和清除：
不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。


Backdoor.Jarfog
警惕程度 ★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
Backdoor.Jarfog是一个木马，它在受感染计算机上打开一个后门。
木马执行时，它将自身复制到以下位置：%Temp%\update.jar
然后，它创建下列文件：%Temp%\update.dat
木马创建以下注册表项，达到开机启动的目的：
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run\"JavaUpdate" = "%Temp%\update.jar"
然后，木马连接到以下远程命令与控制服务器：
[http://]www.lingdona.com/ne[REMOVED]
木马会收集以下信息，并将信息发送到C&C服务器：
主机名、操作系统版本、JAVA版本、用户名、进程列表
然后，木马在受感染的计算机上打开一个后门。
预防和清除：
不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。


钓鱼网站提示：
假冒淘宝中奖类钓鱼网站：http://www.taobaosxx.com/，危害：骗取用户淘宝帐号、密码及钱款。
假冒中国好声音类钓鱼网站：http://www.jaccui.com/，危害：虚假中奖信息，诱骗用户汇款。
假冒中国梦想秀类钓鱼网站：http://179799890.jjkzkj3637.8800.org/，危害：虚假中奖信息，诱骗用户汇款。
假冒工商银行类钓鱼网站：http://www.icbcpp.cn.com/icbc/icbc.php，危害：骗取用户银行卡号及密码。
假冒支付宝类钓鱼网站：http://198.44.182.239/deaad.html，危害：骗取用户淘宝帐号、密码及钱款。
挂马网站提示：
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://lzcfc.**222.org
http://nono126.**666.org


请勿打开类似上述网站，保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供