Trojan.Kilim
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Kilim是一个木马,它在受感染的计算机上下载并安装恶意的浏览器扩展程序,它可以获取计算机上用户的社交账户并进行利用,例如发布消息。
当用户点击一个恶意的被重定向的网站链接时,木马被安装。
当木马执行时,它会创建以下文件:
%ProgramFiles%\sXe 14.2 Wall - Aim\sXe 14.2 Wall - Aim\Uninstall.exe
%ProgramFiles%\sXe 14.2 Wall - Aim\sXe 14.2 Wall - Aim\Uninstall.ini
%Temp%\crx.txt、%Windir%\AdobeFlash\update.xml、%Windir%\windows.exe
%Windir%\AdobeFlash\windows.exe、%Windir%\AdobeFlash2\update.xml
然后,它会创建以下注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"EnableLUA" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"AdobeFlashUpdateManager" = ""%Windir%\AdobeFlash\windows.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist\"1" = "http://www.e-begen.com/crx;C:\Windows\AdobeFlash\update.xml"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist\"2" = http://www.trkral.com/crx;C:\Windows\AdobeFlash2\update.xml
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sXe 14.2 Wall - Aim sXe 14.2 Wall - Aim
Next, the Trojan may connect to any of the following domains:
[http://]www.e-begen.com/crx[REMOVED]、[http://]www.limbao.com
[http://]www.okubakgor.com、[http://]www.trkral.com/crx[REMOVED]
[https://]chrome.google.com、[https://]graph.facebook.com
然后,它会下载并安装谷歌浏览器扩展程序。
当用户登录Facebook时,木马可以执行一下操作:
发布用户最新信息、"Like"页面、Follow其他用户
任何试图查看安装的谷歌扩展将被重定向到以下地址:
https://chrome.google.com/webstore
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Botime
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Botime是一个木马,它下载更多地恶意软件到受感染的计算机上。
当木马运行时,它会复制文件%System%\MSCTFIME.IME到以下位置:
%System%\MSCTFIMEEXT.IME
然后,它会创建下列注册表项,达到使用键盘时执行木马的功能:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E6861806\"IME File" = "MSCTFIMEEXT.IME"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E6861806\"Layout File" = "KBDUS.DLL"
它还创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\"id2" = "22734842QLBORUB6"
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\"ie" = "%CurrentFolder%\[ORIGINAL FILE NAME].exe"
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\"it2" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\Boot\"Runner1" = "[BINARY DATA]"
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\"Start Page" = "about:blank"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"CertificateRevocation" = "1"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"DisableCachingOfSSLPages" = "1"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"EnableHttp1_1" = "1"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"PrivacyAdvanced" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFavoritesMenu" = "1"
木马修改以下注册表项修改IE设置:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1001" = "3"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1201" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1601" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1C00" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"CurrentLevel" = "0"
它还修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IMM\"LoadIMM" = "1"
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload\"1" = "E6861806"
然后,木马注入自身到以下进程并执行:
svchost.exe
然后,该木马揭秘释放一个变种的W32.Morto.B。
然后,W32.Morto.B在计算机上打开一个后门,并连接到下面的远程地址:
[http://]ip.hizgjn.net、[http://]tp.hizgjn.net
然后,远程攻击者可以在受感染的计算机上执行以下操作:
下载并执行文件、列举与安全相关的进程列表、关闭计算机、窃取系统信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
W32.Zbot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
W32.Zbot是一个蠕虫 ,它通过可以动驱动器传播,并尝试在受感染的计算机上窃取机密信息。它还可以从网上下载配置文件和更新。
该蠕虫运行时,会创建以下文件:
%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME ONE]\[RANDOM CHARACTERS FILE NAME ONE].tmp
%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME ONE]\[RANDOM CHARACTERS FILE NAME ONE].[RANDOM THREE LETTER FILE EXTENSION ONE]
%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME TWO]\[RANDOM CHARACTERS FILE NAME ONE TWO].[RANDOM THREE LETTER FILE EXTENSION TWO]
%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME THREE]\[RANDOM CHARACTERS FILE NAME THREE].exe
它还创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "[PATH TO THREAT]"
它还创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"FirstRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\"ConnectionSettingsMigrated" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy\"CleanCookies" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail\[USER NAME]@[NETWORK DOMAIN]\"TimeStamp" = "[BINARY CONTENT]"
HKEY_CURRENT_USER\Software\Microsoft\[RANDOM CHARACTERS REGISTRY SUBKEY ONE]\"[RANDOM CHARACTERS REGISTRY ENTRY ONE]" = "[BINARY CONTENT]"
HKEY_CURRENT_USER\Software\Microsoft\[RANDOM CHARACTERS REGISTRY SUBKEY TWO]\"[RANDOM CHARACTERS REGISTRY ENTRY TWO]" = "[BINARY CONTENT]"
然后,蠕虫在受感染的计算机上打开一个后门,并连接到下面的远程命令与控制服务器:
06939d1ad5a2f4b0.com、gibsonfunsite.ru、televisionhunter.ru
watchtourist.ru、rentfamily.ru
然后,它可以执行以下操作:
重新启动或关闭计算机、删除系统文件,导致计算机无法使用、禁用或恢复特定的URL访问、注入恶意的HTML内容转换为符合定义的URL页面、下载并执行文件、执行本地文件、上传文件或文件夹、窃取数字证书、窃取登录凭据、更新配置文件、重命名根可执行文件、上传或删除闪存Cookies、更改IE主页、截图、HOOK进程、创建一个远程Shell、收集受感染的计算机信息
该蠕虫然后将自身复制到连接到计算机的可以动驱动器上。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://88899.**222.org
http://hj688.**222.org
http://yywsj.**222.org
http://wmgf.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供