Backdoor.Kaziarb
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Kaziarb是一个木马,它在受感染的计算机上打开一个后门,并窃取计算机上的信息。它还试图在受感染的计算机上下载并执行其他的恶意文件。
当木马执行时,他会创建以下文件:
%UserProfile%\Application Data\[EIGHT RANDOM CHARACTERS]\juschedg.exe
它也会创建以下的文件夹:
%UserProfile%\Application Data\Temp
%UserProfile%\Application Data\Apps
然后,它会创建以下注册表子项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS REGISTRY ENTRY]" = "%UserProfile%\Application Data\[EIGHT RANDOM CHARACTERS]\juschedg.exe"
然后,木马使用Tor网络连接下面的命令与控制服务器:
[http://]xtrb3h5gyswyzdc5.onion
[http://]anhmgho2efkywudt.onion
然后,它可以尝试下载其他恶意文件从以下远程地址:
[http://]994-8889.org/wp/333/[REMOVED]
[http://]994-44545.com/wrtu/333/1444[REMOVED]
[http://]994-blsii3.com/wp/444/[REMOVED]
[http://]weret-tesr.com/wp/rttrkk/[REMOVED]
[http://]www.vanderburgbol.nl/site/img/p6.[REMOVED]
[http://]www.kantoorstempels.nl/external/kfm/get[REMOVED]
[http://]flurtbook.com/module/z5.[REMOVED]
[http://]rima-spanish.com/wp-content/themes/[REMOVED]
[http://]994-blsii3.com/wp/444/[REMOVED]
[http://]185.4.227.42/ar2[REMOVED]
[http://]weret-tesr.com/wp/themes/[REMOVED]
接下来,该木马可能会修改Firefox和IE浏览器的设置,用来窃取信息和执行恶意活动。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Incodboot
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Incodboot是一个木马,它修改受感染计算机的主引导记录(MBR)。
该木马运行时,即修改计算机的主引导记录。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Viknok
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Viknok是一个木马,在受感染的计算机上窃取信息。
该木马运行时,会连接到下面的远程命令与控制服务器:
[http://]dgfvv.mydad.info/778/bod8[REMOVED]
然后,它从上述服务器,下载一个文件,并保存到以下位置:
%System%\[RANDOM CHARACTERS FILE NAME].[RANDOM CHARACTERS FILE EXTENSION]
然后,该木马感染以下文件,以便达到开机启动的目的:
%System%\rpcss.dll
然后,木马会搜索并结束以下进程:
avast.setup、avcenter.exe、avp.exe、bdagent.exe、ekrn.exe、mpcmdrun.exe、msseces.exe
该木马监控以下的浏览器:
browser.exe、chrome.exe、firefox.exe、iexplore.exe、opera.exe、webkit2webprocess.exe
然后,该木马检查以下网站的任何通信:
a2.userdail.ru、b7.userdail.ru、c3.userdail.ru、e.mail.ru、esk.sbrf.ru、ibank.svyaznoybank.ru、m.odnoklassniki.ru、m.vk.com、mail.ru、my.mail.ru、odnoklassniki.ru、online.sberbank.ru、psbank.ru、retail.payment.ru、sberbank.ru、sbrf.ru、svyaznoybank.ru、vk.com、zubsb.ru
该木马还可以监控以下安全厂商的网站:
avast.com、avast.setup、bitdefender、kaspersky、microsoft.com
该木马窃取计算机信息,并发送到远程命令与控制服务器。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://fjlianda.**222.org
http://88899.**222.org
http://909tk-com.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供。