警惕程度★★★ 警惕程度★★★ 警惕程度★★★ 钓鱼网站提示:
Backdoor.Mevade是一个木马,它在受感染计算机上打开一个后门。
木马执行时,它检查是否正运行在虚拟机环境中。
然后,木马将自身复制到以下位置:
%System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
然后,木马创建下列文件:
%ProgramFiles%\Tor\tor.exe
%System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\049e7fb749be2cdf169e28bb0a27254f\181084e525a65ef540c63d60ce07f836.ct
%System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\049e7fb749be2cdf169e28bb0a27254f\181084e525a65ef540c63d60ce07f836.ph
%System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\cache.00
%System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-02.cache
%SystemDrive%\Documents and Settings\LocalService\Application Data\tor\lock
%SystemDrive%\Documents and Settings\LocalService\Application Data\tor\state
然后,木马创建以下注册表项,注册自身为系统服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"Description" = "Provides Internet Name Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"DisplayName" = "Windows Internet Name Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"FailureActions" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"Group" = "netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"ImagePath" = "%System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\"Type" = "16"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\Security\"Security" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\"Description" = "Provides an anonymous Internet communication system"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\"DisplayName" = "Tor Win32 Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\"ImagePath" = ""%ProgramFiles%\Tor\tor.exe\" --nt-service \"-ControlPort\" \"9051""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\"ObjectName" = "NT AUTHORITY\LocalService"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\"Type" = "16"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Security\"Security" = "[BINARY DATA]"
Startup Type: Automatic
Image Path: %ProgramFiles%\Tor\tor.exe\" --nt-service \"-ControlPort\" \"9051"
Display Name: Tor Win32 Service
Startup Type: Automatic
Image Path: %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
Display Name: Windows Internet Name Service
然后,木马修改下列注册表项,修改浏览器设置:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Local AppData" = "%SystemDrive%\Documents and Settings\LocalService\Local Settings\Application Data"
该木马连接到下列远程服务器TOR网络之一: pomyeasfnmtn544p.onion
ijqqxydixp4qbzce.onion
7fyipi6vxyhpeouy.onion
onhiimfoqy4acjv4.onion
6tlpoektcb3gudt3.onion
qxc7mc24mj7m4e2o.onion
lqqciuwa5yzxewc3.onion
wsytsa2omakx655w.onion
lqqth7gagyod22sc.onion
lorpzyxqxscsmscx.onion
mdyxc4g64gi6fk7b.onion
ye63peqbnm6vctar.onion
7sc6xyn3rrxtknu6.onion
l77ukkijtdca2tsy.onion
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Godwon
Android.Godwon是一个木马,它在受感染的设备上窃取信息。 该木马可能作为一个安装包被下载,它具有以下特点: 1.其中的包名如下:
Package name: me.key.sexclient
Version: 2.0
Name: LoveTalk (Korean)
Package name: com.google.data
Name: Google Service
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
读取用户的联系人数据、打开网络连接、访问账户的服务列表、写入到外部存储设备、检查手机的当前状态、不经过用户同意直接拨打一个电话
3.安装
一旦安装完毕,应用程序会显示以下图标:
如果子应用程序安装完成,它会显示以下图标:
该木马会发送受感染设备的skype用户信息到以下地址: [http://]www.gogledwon.net
木马从其名字为“Google Service”的资源文件夹安装另外一个app,用来结束任何来电,并从试图种隐藏其图标文件夹,然后试图安装其他应用程序。 预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。
Android.Uten
Android.Uten是一个木马,它从受感染的设备上发送、阻止或者删除短信;它也可以下载并安装额外的应用程序,并尝试获取root权限。
该木马可能作为一个安装包被下载,它具有以下特点: 1.其中的信息如下:
Package name: com.example.yclient
Version: 1.0
Name: ClockPlus
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
网络访问信息、wifi状态、改变网络连接状态、更改wifi连接状态、清除所有设备上应用程序的缓存、清除用户数据、删除缓存文件、安装和删除软件包、打开网络连接、安装和卸载可移动存储的文件系统、检查手机当前状态、监控收到的短信、重启设备、监控启动、监控传入的WAP推新消息、编写和发送短信、更改背景壁纸、修改APN设置、写入到外部存储 3.安装
一旦安装完毕,应用程序会显示以下图标:
该木马被执行时,它报告设备的状态,然后下载一个配置文件,文件中包含从下列远程地址获取的电话号码列表:
[http://]42.96.153.94/upd[REMOVED]
[http://]42.121.136.177/upd[REMOVED]
然后,木马对列表中的电话号码发送短信。
木马可以拦截、阻挡火删除包含下面数字的短信:
10086、13800、106、1001 然后,它还可以执行下列活动:
修改设备设置、下载并安装新的软件包、尝试获取root权限 预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。