Backdoor.Ratenjay
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Ratenjay是一个木马,它在受感染的计算机上打开一个后门。 当木马执行时,它为自身创建以下副本: %Temp%\[THREAT FILE NAME].exe
%SystemDrive%\! My Picutre.SCR
%DriveLetter%\! My Picutre.SCR
%ProgramFiles%\Startup\[RANDOM NAME].exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "C:\Documents and Settings\All Users\Application Data\msnco.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "C:\Documents and Settings\All Users\Application Data\msnco.exe"
该木马还创建以下注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\[THREAT FILE NAME]" = "%Temp%\[THREAT FILE NAME]:*:Enabled:[THREAT FILE NAME]"
然后,该木马打开后门,连接以下远程命令与控制服务器之一:
koodk.no-ip.biz:8008
6939147.no-ip.biz:1177
alrewesh3.no-ip.org:1177
profesor111.no-ip.biz:8521
217.66.231.245:1177
该后门可能允许远程攻击者可以执行以下操作: 启动一个远程shell、设置键盘记录、检索计算机设置、修改注册表、下载并运行文件、加载和执行插件、屏幕截图、卸载自身、自动更新、将自身复制到网络和移动设备、使用网络摄像头捕捉图像 预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Linopid
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Linopid是一个木马,它在受感染的计算机上打开一个后门,并窃取信息,下载额外的恶意文件。 该木马执行时,会连接到以下主机和端口:
soo.dtdns.net:80/443/1863
cxcy.xxxy.info:80/443/1863
该木马会执行以下操作:
发送文件列表、上传文件、下载文件、移动文件、删除文件、执行文件、执行命令、发送驱动器列表、发送进程列表、终止进程、发送客户端信息、发送计算机信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Ransomserv
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Ransomserv是一个木马,它在受感染的计算机上打开一个后门,并对文件进行加密。 当木马被执行时,它可能会创建以下文件: C:\ProgramData
该木马试图终止受感染计算机上运行的所有非操作系统的服务。 然后禁止自动运行。 接着,它会删除Windows系统启动文件夹里的内容。
然后,它删除以下注册表子项中的所有条目: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
然后,该木马对受感染计算机上发现的文件进行加密。 文件加密后,该木马会显示以下要求支付赎金的标题: Warning! Access to your computer is limited. Your files have been encrypted.
然后,用户会被要求支付4000美元用以对加密文件进行解密:
该木马在受感染计算机上打开后门,并允许远程攻击者进行访问。 预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/mem
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://909tk-com.**222.org
http://hj688.**222.org
http://hmerp.**222.org
http://hansz.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供