Backdoor.Mudsy
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Mudsy是一个木马,它在受感染的计算机上打开一个后门。
该木马利用微软Windows公共ActiveX控件远程代码执行漏洞(CVE-2012-0158)生成特质的RTF文件。
%Temp%\rdp.exe
%Temp%\[RANDOM NUMBER].dll
%System%\drivers\[RANDOM NUMBER].sys
C:\Anti.sys
当木马执行时,他会创建以下文件:
%Temp%\document.doc
%Temp%\update.exe
%System%\msdap.dll
%Temp%\vbScript.bat
然后,它会创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Display Card Driver" = "rundll32.exe %System%\msdap.dll,Display"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Display Card Driver" = "rundll32.exe %System%\msdap.dll,Display"
然后,它在受感染的计算机上打开一个后门,并打开8081端口连接到以下的IP地址:
196.202.140.106
接下来,该木马可以执行以下操作:
下载文件、上传文件、执行命令、删除注册表RUN项
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
W32.Inabot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
W32.Inabot是一个蠕虫,它可以通过可移动驱动器和网络共享以及从受感染的计算机截取的信息传播。
该蠕虫运行时,会创建以下文件:
%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe
一旦开始执行,原来的蠕虫可执行文件就被删除,达到隐藏的目的。
然后,它会创建以下注册表项,以便达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM KEY]" = "%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe"
然后,它打开一个后门,连接到以下的远程命令与控制服务器之一:
e.eastmoon.pl
gigasbh.org
gigasphere.su
h.opennews.su
o.dailyradio.su
photobeat.su
s.richlab.pl
uranus.kei.su
xixbh.com
xixbh.net
然后,该蠕虫从受感染的计算机搜集信息,并发送给远程攻击者。
该蠕虫还可以执行以下操作:
通过可移动驱动器传播、通过网络共享传播、下载并执行其它恶意文件、执行DDoS攻击和通过UDP或TCP协议攻击
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Jabeefit
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Jabeefit是一个木马,在受感染的计算机上打开一个后门,并窃取信息。
该木马运行时,会复制自身为以下文件之一:
%UserProfile%\Application Data\BIFIT_A\agent.exe
然后,它生成以下文件:
%UserProfile%\Application Data\BIFIT_A\bifit_a.cfg
%UserProfile%\Application Data\BIFIT_A\bifit_agent.jar
%UserProfile%\Application Data\BIFIT_A\javassist.jar
然后,该木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"bifit_agent" = "%UserProfile%\Application Data\BIFIT_A\agent.exe"
然后,该木马在受感染计算机上打开一个后门,并连接到以下域:
http :// 5.135.188.15/site1/client.php
该木马允许远程攻击者在受感染计算机上执行以下操作:
创建新进程、下载文件、结束进程
该木马在网上银行应用程序,修改Java代码,窃取用户信息。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://cqgyzx.**222.org
http://88899.**222.org
http://nmll.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供