Trojan.Rloader.B
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Rloader.B是一个木马,它在受感染的计算机上打开一个后门,也可以下载其他文件到计算机,并窃取受感染计算机上的信息。
该木马可能由W32.Waledac下载到受感染计算机。
当木马执行时,它检查以下注册表项,确定安装的应用程序:
HKEY_CURRENT_USER\Software\CommView
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRIS5
HKEY_CURRENT_USER\Software\eEye Digital Security
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wireshark
HKEY_LOCAL_MACHINE\SOFTWARE\ZxSniffer
HKEY_LOCAL_MACHINE\SOFTWARE\Cygwin
HKEY_CURRENT_USER\Software\Cygwin
HKEY_LOCAL_MACHINE\SOFTWARE\B Labs\Bopop Observer
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Bopop Observer
HKEY_CURRENT_USER\Software\Blabs\Bopop Observer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Win Sniffer_is1
HKEY_CURRENT_USER\Software\Win Sniffer
HKEY_CURRENT_USER\PEBrowseDotNETProfiler.DotNETProfilter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu2\PRograms\Debugging Tools for Windows (x86)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SDbgMsg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu2\PRograms\APIS32
HKEY_CURRENT_USER\Software\Syser Soft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\APIS32
HKEY_LOCAL_MACHINE\SOFTWARE\APIS32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ORacle VM VirtualBox Guest Additions
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxGuest
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SbieDrv
HKEY_CURRENT_USER\Software\Classes\Folder\shell\sandbox
HKEY_CURRENT_USER\Software\Classes\*\shell\sandbox
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com
HKEY_CURRENT_USER\SUPERAntiSpywareContextMenuExt.SASCon.1
HKEY_CURRENT_USER\Software\SUPERAntiSpyware.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ERUNT_is1
然后,它会搜索下列列表中正在运行的进程:
cv.exe、irise.exe、IrisSvc.exe、wireshark.exe、dumpcap.exe、ZxSniffer.exe、Aircrack-ng Gui.exe、observer.exe、tcpdump.exe、WinDump.exe、wspass.exe、Regshot.exe、ollydbg.exe、PEBrowseDbg.exe、windbg.exe、DrvLoader.exe、SymRecv.exe、Syser.exe、apis32.exe、VBoxService.exe、VBoxTray.exe、SbieSvc.exe、SbieCtrl.exe、SandboxieRpcSs.exe、SandboxieDcomLaunch.exe、SUPERAntiSpyware.exe、ERUNT.exe、ERDNT.exe、EtherD.exe、Sniffer.exe、CamtasiaStudio.exe、CamRecorder.exe
然后,它会收集下列系统相关信息:
操作系统版本、机器ID、区域设置、语言、UID、卷信息(%Windir%\System Volume Information)
该木马修改系统host文件,将搜索请求和广告内容重定向到下列地址:
64.125.87.101
64.125.87.147
72.30.186.249
77.125.87.109
77.125.87.148
77.125.87.149
77.125.87.150
77.125.87.152
87.125.87.103
87.125.87.104
87.125.87.147
87.125.87.99
87.248.112.8
92.123.68.97
该木马还会修改Firefox和IE的主页:
[http://]findgala.com
该木马会创建下列文件:
%Temp%\[RANDOM].sys
%Temp%\[RANDOM].exe
该木马从注册表中收集以下信息:
安装日期、计算机名、适配器信息、Windows更新状态、产品编号
木马将自身注入到以下进程:
chrome.exe、cmd.exe、explorer.exe、far.exe、firefox.exe、iexplore.exe、opera.exe、totalcmd.exe、wuauclt.exe
木马窃取以下信息:
操作系统版本、安装日期、计算机GUID、安装的磁盘、硬件配置文件
然后,木马将窃取的信息发送到远程服务器。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Centero
警惕程度 ★★★
影响平台:Android
Android.Centero是一个木马,它在受感染的设备上显示广告。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
com.easou.plus、com.easou.search、cn.tianya.light
2.一旦安装,应用程序显示一个红色图标“e”和一个“+”(加号):
3.权限
当被安装了木马,它要求一些权限来执行以下操作:
打开“网络连接”、写入到外部存储设备、访问有关网络的信息、修改当前的配置、检查手机的当前状态、防止处理器休眠或关闭屏幕、获取有关当前或最近运行的任务的信息、允许访问低级别的电源管理、开机启动、创建一个快捷方式、安装软件包、打开窗口、手机调成震动、访问位置信息,如手机ID或WiFi、设施的位置信息,如GPS信息、访问的WiFi状态的信息、写入到外部存储设备。
4.功能:
该木马会监视某些流行的应用程序、并且在受感染的设备中的应用程序里显示广告,获得广告收入。
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。
Android.Fakedefender
警惕程度 ★★★
影响平台:Android
Android.Fakedefender是一个木马,它在安卓设备上显示虚假的安全警告,试图说服用户购买安全应用程序,涌来删除设备上本就不存在的恶意软件或者安全风险。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
com.android.defender.androiddefender
2.一旦安装,应用程序显示一个图标与文本“Android Defender”。:
3.权限
当被安装了木马,它要求一些权限来执行以下操作:
当被安装了木马,它要求的权限来执行以下操作:
访问位置信息,如手机ID或WiFi、设施的位置信息,如GPS信息、访问有关网络的信息、访问的WiFi状态的信息、更改网络连接状态、更改Wi-Fi连接状态、允许程序禁用键盘锁、展开或折叠状态栏、进入到列表中的账户所在服务、打开“网络连接”、结束后台进程、读取用户的联系人数据、检查手机的当前状态、在设备上阅读短信、开机启动、打开窗口、手机震动模式、防止处理器从休眠或关闭屏幕、创建新的联系人数据、写入到外部存储设备、创建新的短信、安装一个快捷方式。
4.功能:
该木马会显示虚假的安全警告,企图说服用户购买一个应用程序,用来删除设备中本就不存在的恶意软件或安全风险。
它还会删除下列文件中中的所有apk文件:
[EXTERNAL STORAGE MEDIA]/Download
/mnt/external_sd/Download
/mnt/extSdCard/Download
创建下列SQLite数据库文件:
droidbackup.db
然后,木马复制设备中的所有短信。
设备被锁定时,它可能显示一个色情背景图像。
然后,它结束以下后台进程:
com.rechild.advancedtaskkiller
com.estrongs.android.pop
com.metago.astro
com.avast.android.mobilesecurity
com.estrongs.android.taskmanager
com.gau.go.launcherex.gowidget.taskmanagerex
com.gau.go.launcherex
com.rechild.advancedtaskkillerpro
mobi.infolife.taskmanager
com.rechild.advancedtaskkillerfroyo
com.netqin.aotkiller
com.arron.taskManagerFree
com.rhythm.hexise.task
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hbshendan.**222.org
http://lisha.**666.org
http://yywsj.**222.org
http://wmgf.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供