Trojan.Manna
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Manna是一个木马,它在受感染计算机上下载并执行恶意文件。
木马利用系统漏洞感染计算机。
木马执行时,它创建下列文件:
%UserProfile%\Application Data\verison.dll
%UserProfile%\Start Menu\Programs\Startup\HpM3Util.exe
木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Adobe\Adobe ARM\1.0\ARM\"tLast_ReadedSpec"=%BinaryData%
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\"twunk_32.exe"=%DWORDvalue%
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\"winhlp32.exe"=%DWORDvalue%
木马连接到用自己域创建的算法生成的URL上。
cn0803.aiwooolsf.com
木马下载并执行潜在的恶意文件。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Ferretos
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Ferretos是一个木马,它在受感染计算机上打开一个后门,它也可以下载并安装其他的恶意程序。
木马执行时,它创建以下文件:
%ProgramFiles%\[RANDOM FOLDER NAME]\[RANDOM FILE NAME]
然后,木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[RANDOM FOLDER NAME]" = "[MALWARE FILE PATH]"
然后,木马可以连接到以下远程站点:
[http://]188.190.101.13/hor/inpu[REMOVED]
木马还可以执行以下操作:
从远程控制与命令服务器接收指令、进行DDoS攻击、下载并执行文件、自我更新
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Backdexer
警惕程度 ★★★
影响平台:Android
Android.Godwon是一个木马,它从受感染的设备上往外发送垃圾短信。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: air.com.turnerapac.cartoonnetworkasia.iphone.foreverdefense
Name: Ben 10 Forever Defense
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
接入无线网络的位置信息、关于网络的访问信息、关闭移动设备、发送短消息、读取设备上的短消息、监视收到的短信、创建新短信、检查手机的当前状态、写入外部存储设备、安装或卸载移动存储上的文件系统、安装软件包、删除软件包
3.安装
一旦安装完毕,应用程序会显示以下图标:
4.功能:
一旦木马执行,它会在后台启动服务:
该服务将发送设备信息和安装应用程序列表到下列远程地址:
[http://]60.191.57.174:92/ms.[REMOVED][VARIOUS URL PARAMETERS]
木马可以从下列远程地址下载文件:
[http://]60.191.57.174:92/dl.[REMOVED]
该木马运行时可以执行以下活动:
下载文件、发送垃圾短信
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。
钓鱼网站提示:
假冒建设银行类钓鱼网站:http://184.164.71.131/pay/jianz/,危害:骗取用户银行卡号及密码。
假冒中国好声音类钓鱼网站:http://www.eafie.com/js/ADMIN/,危害:虚假中奖信息,诱骗用户汇款。
假冒腾讯类钓鱼网站:http://www.aa162.com/,危害:骗取用户QQ帐号及密码。
假冒工商银行类钓鱼网站:http://www.sakjie.com/,危害:骗取用户银行卡号及密码。
假冒医药类钓鱼网站:http://www.fengshigutong.cn/,危害:出售假药,骗取用户钱财。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://909tk.**222.org
http://hmerp.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供