Backdoor.Boda
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Boda是一个木马,它在受感染计算机上打开一个后门。
木马执行时,它创建下列文件: %Temp%\seccenter.xxx 然后,木马将上面的文件复制到以下位置: %UserProfile%\Application Data\googleupdate.exe
然后,木马创建以下注册表项: HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run\"Update" = "%UserProfile%\Application Data\googleupdate.exe" HKEY_CURRENT_USER\Software\Classes\"softbin" = "[BINARY DATA]" 然后,木马检测以下杀毒软件进程,如果存在,则关闭进程: 360tray.exe、avp.exe、kxetray.exe、qqpctray.exe
该木马接着打开一个后门,允许远程攻击者获得对计算机的访问。 然后,木马收集系统的相关信息,并且将信息发送到远程的C&C服务器。 预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Neverq
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Neverq是一个木马,它窃取受感染计算机上的机密信息。
木马执行时,它将本身注入到以下进程: iexplore.exe、chrome.exe、firefox.exe
该木马从被感染的计算机中收集信息,并将其发送到远程服务器。它还通过注入浏览器进程修改网页内容。 该木马会创建以下注册表项,达到开机启动的目的: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[random characters]": "regsvr32.exe /s \%SYSTEMROOT%\Documents and Settings\All Users\Application Data\dmahdqe.dat\""" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"NoProtectedModeBanner" : 0x00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"2500" : 0x00000003
该木马可以执行以下命令: 屏幕截图、窃取FTP凭据、窃取outlook凭据、窃取cookies、窃取存储凭据
该木马还会从远程站点下载恶意文件并执行他们。 预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Oshidor
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Oshidor是一个木马,它加密受感染计算机上的文件。
木马执行时,它将本身复制到以下位置: %UserProfile%\Application Data\[FIVE RANDOM CHARACTERS OR NUMBERS].exe
该木马会创建以下注册表项,达到开机启动的目的: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"EpsonPLJDriver" = "%UserProfile%\Application Data\[FIVE RANDOM CHARACTERS OR NUMBERS].exe" 该木马还会创建以下注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ 之后,木马会生成加密密钥,由15个随机的字符或数字的字符串组成。 然后,木马将生成的加密密钥发送到下面的远程C&C服务器: http://78.129.153.4/addnews/signup.php 如果木马成功连接C&C服务器,服务器将返回两个字符串,木马将这两个字符串保存在以下注册表地址中: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"email" = "[VALUE RECEIVED FROM C&C SERVER]" HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"id" = "[VALUE RECEIVED FROM C&C SERVER]"
木马会创建以下文件并在文件中写入字符串“完成”: %UserProfile%\Application Data\textnote.txt 加密文件则为以下文件: %UserProfile%\Application Data\textnote.txt.oshit
接下来,该木马搜索以下扩展名的文件并进行加密: .txt、.xls、.xlw、.docx、.doc、.cer、.key、.rtf、.xlsm、.xlsx、.xlc、.docm、.xlk、.htm、.chm、.text、.ppt、.djvu、.pdf、.lzo、.djv、.cdx、.cdt、.cdr、.bpg、.xfm、.dfm、.pas、.dpk、.dpr、.frm、.vbp、.php、.js、.wri、、.css、.asm、.html、.jpg、.dbx、.dbt、.dbf、.odc、.mde、.mdb、.sql、.abw、.pab、.vsd、.xsf、.xsn、.pps、.lzh、.pgp、.arj、.md、.gz、.pst、.xl
一旦文件被加密,加密的文件保存为以下文件名: [ORIGINAL FILE NAME].oshit 然后,木马删除原始文件,木马还会再原始文件的文件夹中创建以下文件: Razblokirovka_failov.txt 之后,木马会在桌面跳出一个提示框,告诉计算机用户,他们的文件已经被加密,要求用户输入密码才能解密。 该木马还会结束以下进程: taskmgr.exe regedit.exe 预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒中国银行类网站:http://ha.bocmeg.co*,骗取用户银行卡号及密码。
假冒爸爸去哪儿类钓鱼网站:http://www.bbqnestv.co*,虚假中奖信息,诱骗用户汇款。
假冒中国好声音类钓鱼网站:http://www.kfvtf.co*,虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://icbck.net.tf/icbc/wa*,骗取用户银行卡号及密码。
假冒建设银行类钓鱼网站:http://www.ccbsw.co*,骗取用户银行卡号及密码。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://909tk.**222.org
http://miansha.**freereeeee.net
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供