Trojan.Jokra
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Jokra是一个木马,它试图损坏受感染的计算机的硬盘。
当木马执行时,它会创建下列文件:
N%Temp%\alg.exe
%Temp%\conime.exe
%Temp%\AgentBase.exe
%Temp%\~v3.log
%Temp%\~pr1.tmp
该木马具有Windows组件和Linux组件。
Windows组件,有以下功能:
该木马运行%Temp%\AgentBase.exe作为一个进程
该木马结束下列安全进程:
pasvc.exe、clisvc.exe
该木马会创建一个线程,枚举物理驱动器并写入,直到驱动器末尾出现下列词中的一个:
PRINCPES、HASTATI.、PR!NCPES
该木马试图写入所有的物理磁盘驱动器和可移动驱动器。
Linux组件,有以下功能:
该木马会查找保存凭据在以下路径:
%UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml
该木马会创建一个线程,生成一个bash脚本在以下地址:
%Temp%\~pr1.tmp
该木马分析mRemote的配置文件中的连接信息。
该木马上传SSH脚本,并以/tmp/cups方式在远程的Linux计算机上执行。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Salgorea
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Salgorea是一个木马,在受感染的计算机上打开一个后门。
该木马可能通过垃圾邮件的附件传播,一般为.hta后缀的文件。
该木马运行时,会复制自身到以下文件:
%Temp%\[RANDOM FILE NAME].exe
%UserProfile%\Application Data\Microsoft\Windows\AeroGlass.theme
%UserProfile%\Application Data\Microsoft\Windows Sidebar\sidebar.exe
它创建一个部分修改的自身文件到一个临时文件夹,并以参数”--help”运行。
该木马创建以下干净的文件并运行:
%Temp%\KeePass.exe
该木马创建下列任务队列,并每天执行sidebar.exe文件:
%Windir%\Tasks\Sidebar.job
%Windir%\Tasks\Sidebar_[CURRENT USER].job
该木马创建下列注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Sidebar" = "%Temp%\[RANDOM FILE NAME].exe"
它也创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Keyboard\"es-ec" = "[ENCODED DATA]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Keyboard\"es-ec" = "[ENCODED DATA]"
HKEY_CURRENT_USER\Software\Microsoft\SideShow\Gadgets\"Language" = "[TIME OF INFECTION]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\UC\"SP" = "[TIME OF INFECTION]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SideBar\OemCustomTheme\"(Default)" = "%UserProfile%\Application Data\Microsoft\Windows\AeroGlass.theme"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBar\OemCustomTheme\"(Default)" = "%UserProfile%\Application Data\Microsoft\Windows\AeroGlass.theme"
当sidebar.exe文件运行时,它会搜索以下文件之一:
%System%\fsquirt.exe
%System%\sigverif.exe
%SystemDrive%\syswow64\colorcpl.exe
%System%\colorcpl.exe
%ProgramFiles%\Internet Explorer\ielowutil.exe
%ProgramFiles%\Messenger\msmsgs.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
如果发现上述文件之一,它运行该文件,并注入自身到新的进程中。
该木马然后在受感染的计算机上打开一个后门,连接到以下网址,允许攻击者可以执行各种操作:
ssl.zin0.com:9999/tcp
zone.apize.net:8768/tcp
untitled.po9z.com:9999/tcp
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Travnet
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Travnet是一个木马,它在受感染的计算机上窃取信息。
该木马可能由包含漏洞的文件生成。
当木马执行时,它会创建下列文件:
%Temp%\ie.log
%Temp%\netmgr.dll
%Temp%\netmgr.exe
%Temp%\perf2012.ini
%Temp%\sysinfo2012.dll
%Temp%\sysinfo2012.dll
%Temp%\winlogin.exe
%UserProfile%\Start Menu\Programs\Startup\netmgr.lnk
%UserProfile%\Start Menu\Programs\Startup\netmgr.lnk
接着,它会窃取有以下扩展名的文件:
.doc、.docx、.pdf、.rtf、.txt、.xls、.xlsx
该木马也会窃取电子邮件的密码和用户名。
然后,该木马将窃取的信息上传到以下远程地址:
[http://]www.faceboak.net/2012nt/nettrav[REMOVED]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://wmgf.**222.org
http://88899.**222.org
http://fasttoml.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供