计算机病毒预报(2013年11月04日至2013年11月10日)

发布时间:2013-11-07浏览次数:141


Trojan.Dipverdle

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003


病毒执行体描述: 
Trojan.Dipverdle是一个木马,它可能下载其他恶意文件到受感染的计算机。
木马执行时,它创建下列文件:
%UserProfile%\Application Data\Microsoft\Windows\svchost.exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"WindowsUpdate" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.exe"
然后,木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%UserProfile%\Application Data\Microsoft\Windows\svchost.exe" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.exe:*:Enabled:Microsoft Windows Update"
HKEY_CURRENT_USER\Identities\"Identity_TDN" = "[UNIQUE ID]"
然后,木马创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[NETWORK ADAPTER ID]\Nameserver
木马通过上面的注册表数据修改,可能改变计算机的DNS设置。
然后,木马禁用防火墙和Windows 安全服务。
然后,木马连接到下面的远程地址,接受命令:
[http://]62.76.176.214/c[REMOVED]
[http://]6r3u8874dfd9.com/c[REMOVED]
[http://]r95u8114dfd9.com/c[REMOVED]
[http://]r55u87799hd39.com/c[REMOVED]
木马上传以下信息到上述远程地址:
受感染计算机的ID、恶意软件版本、下载状态
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
 
Android.Fakeplay


警惕程度★★★

影响平台:Android


    Android.Fakeplay是一个木马,它在受感染的设备上窃取信息,并把信息发送到指定的电子邮件地址。
    该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package: com.googleprojects.mmsp       Name: Google Play
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
监控传入的短信、监控传入的MMS信息、在设备上阅读短信、检查手机当前状态
、开机启动、允许云消息、打开网络连接、访问账户服务中的账户列表、防止设备进入屏保状态、访问Wifi信息、更改Wifi状态
3.安装
一旦安装完毕,应用程序会显示以下图标:
该木马可能会在应用程序列表中删除图标。
4.功能:
该应用程序在后台运行,收集设备上的短信,并定期发送到指定的邮件地址:
ineonya7499@gmail.com、yournew7432@gmail.com
木马一旦运行,会请求管理员权限:
这些邮件地址攻击者可以通过短信命令进行改变。 
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。
 
 
Android.Fakebank.B


警惕程度★★★

影响平台:Android


    Android.Fakebank.B是一个木马,它在受感染的设备上打开一个后门,并窃取信息。
    该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.google.games.stores      Version: 1.0 
Name: Google App Store
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
写入到外部存储设备、安装或卸载可移动存储中的文件系统、阅读和发送设备上的短信、检查手机当前状态、安装快捷方式、打开网络连接、读取用户的联系人数据
3.安装
一旦安装完毕,应用程序会显示以下图标:
该木马伪装成谷歌应用程序商店的图标
4.功能:
该木马被执行时,它会启动以下服务:ContactsService、Notifications
接下来,木马会对联系人列表中的电话号码发送短信,并将受感染设备上的联系人列表和电话号码发送到下面的远程地址:
[http://]60.71.169.133/webmaster/action/add[REMOVED]
然后,木马检查受感染设备上是否安装过以下网上银行的应用程序:
nh.smart、com.shinhan.sbanking、com.webcash.wooribank
com.ATsolution.KBbank、com.hanabank.ebk.channel.android.hananbank
如果上述应用程序已经被安装,木马会提示用户删除,并安装恶意版本:
预防和清除: 
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。
 


钓鱼网站提示:

假冒中国银行类钓鱼网站:http://23.19.122.200/pay/zhon*,骗取用户银行卡号及密码。


假冒支付宝类钓鱼网站:http://23.104.164.49/pay/index.as*,骗取用户银行卡号及密码。


假冒建设银行类钓鱼网站:http://www.xjuuooc11.tk/pay/jia*,骗取用户银行卡号及密码。


假冒中国好声音类钓鱼网站:http://zjumtv35.co*,虚假中奖信息,诱骗用户汇款。


假冒工商银行类钓鱼网站:http://www.chinaabb2.inf*,骗取用户银行卡号和密码。


 


挂马网站提示:


http://jump.**666.org


http://wbm2000.**222.org


http://hj688.**222.org


http://kaihao.**666.org


http://hansz.**222.org 
请勿打开类似上述网站,保持计算机的网络防火墙打开。


以上信息由上海市网络与信息安全应急管理事务中心提供