Trojan.Bladabindi
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Bladabindi是一个木马,它在受感染的计算机上窃取信息。 木马执行时,会复制自身到以下位置: %Temp%\Trojan.exe
该木马还会创建以下文件: %UserProfile%\Start Menu\Programs\Startup\[RANDOM FILE NAME].exe
该木马会创建以下注册表项,达到开机启动的目的: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[RANDOM FILE NAME]" = "%Temp%\Trojan.exe"
然后,木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\Trojan.exe" = "%Temp%\Trojan.exe:*:Enabled:Trojan.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\Trojan.exe" = "%Temp%\Trojan.exe:*:Enabled:Trojan.exe"
该木马会记录所有打开窗口的标题和击键记录,将收集到的数据保存在以下文件:
%Temp%\Trojan.exe.tmp
所收集的数据随后被发送到一个预定的远程地址。 预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Nineblog
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Nineblog是一个木马,它在受感染的计算机上打开一个后门。 木马执行时,会创建以下文件: %UserProfile%\Application Data\Microsoft\Windows\Microsoft-Experance-Improve.vbe
%UserProfile%\Application Data\RECYCLER\desktop.ini
%UserProfile%\Application Data\RECYCLER\Microsoft-Windows-DiskCleaner.vbe
%Windir%\Tasks\Microsoft-Experance-Improve.job
该木马会创建以下注册表项,达到开机启动的目的: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft-Windows-DiskCleaner\"wscript.exe" = "%DriveLetter%\Documents and Settings\Administrator\Application Data\RECYCLER\Microsoft-Windows-DiskCleaner.vbe"
然后,木马连接以下远程地址:
https://ent.wikaba.com/9blog/client.php
然后发送以下信息到上述远程地址:
主机名、正在运行的进程列表
然后,木马打开一个后门,并在受感染的计算机上下载并执行恶意的vbs脚本。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Vidgrab
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Vidgrab是一个木马,它在受感染的计算机上打开一个后门。 该木马执行时,会创建以下文件: %UserProfile%\Application Data\temp\temp1.exe
%UserProfile%\Application Data\360\Live360.exe
%UserProfile%\users.bin
%Windir%\fxsst.dll
该木马会创建以下注册表项,达到开机启动的目的: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ukey" = "%UserProfile%\Application Data\360\Live360.exe"
然后,木马创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\rar\ActiveSettings
HKEY_LOCAL_MACHINE\SOFTWARE\rar\s
HKEY_LOCAL_MACHINE\SOFTWARE\rar\data
然后,该木马连接到以下IP地址和端口: 202.130.112.231:8080
112.121.182.150:8080
然后,该木马在受感染计算机上打开一个后门,允许攻击者执行以下操作: 更改DNS设置、检查木马是否被监视或者调试、提升权限、执行任意命令、从web浏览器获取自动完成的缓存、将代码注入到explorer.exe和svchost.exe进程、击键记录、避开Eset,卡巴斯基,360等安全产品的检测、打开远程shell命令、音频录制、嗅探网络流量、窃取电子邮件地址,账户,密码和数字证书 预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/mem
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://hansz.**222.org
http://wttk.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供