Java.Minesteal
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Java.Minesteal是一个木马,它可以适用于Windows和MAC操作系统,它窃取网络游戏Minecraft的登陆凭证。
当木马执行时,它会从下列地址下载2个配置文件:
[http://]dl.dropbox.com/u/143985458/virs/apps[REMOVED]
[http://]dl.dropbox.com/u/143985458/virs/instal[REMOVED]
上述的配置文件中,包含的插件下载URL和安装程序模块将被复制到以下位置:
Mac: $HOME/Library/LaunchAgents/SysJar
Windows: %UserProfile%\Application Data\SysJar
该木马,然后创建以下文件和注册表项,以达到开机启动的目的:
Mac:
$HOME/Library/LaunchAgents/SysJar.plist
$HOME/Library/LaunchAgents/[PLUGIN NAME].plist
Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[PLUGIN NAME]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SysJar
然后,它从下列地址下载一份电子邮件地址列表:
[http://]dl.dropbox.com/u/143985458/sendAdd[REMOVED]
然后,该在受感染的计算机上,窃取Minecraft网游的登陆凭据,并将窃取的信息加密,然后发送到下载的电子邮件地址列表中的一个邮件地址。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Outflare
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Outflare是一个木马,它在受感染的计算机上打开一个后门,它还可以在受感染的计算机上执行DDoS攻击。
该木马被执行时,会创建以下文件:
%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe
它创建以下注册表项,以便开机启动自身:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Windows Application" = "%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe"
它会创建下列互斥:
Global\sad_day
该木马可能会注入到以下其中一个合法的进程:
iexplore.exe、rundll32.exe
该木马可以连接到以下一个或多个网址,来测试连接:
engadget.search.aol.com/search
google.com
usatoday.com/search/results
yahoo.com/search
该木马程序,在受感染的计算机上打开一个后门,并连接到以下域,用以获得命令:
7.vr.lt
ddaws.in
它可能使受感染的计算上执行DDos攻击。
当执行DDos攻击时,木马会从列表中选择一个用户代理字符串,来规避传统的服务器端DDos攻击防护技术。
该木马还可以在受感染的计算机上收集下列信息:
主机名、OS版本、用户名
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Sonso
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Sonso是一个木马,它在受感染的计算机上打开一个后门。
该木马是一个Chrome浏览器的扩展,它在Chrome浏览器运行时的后台运行。
当"chrome://extensions/"或"chrome://extensions-frame"打开时,它将浏览器重定向到以下URL:
[http://]goo.gl/Bn[REMOVED]
当Facebook被打开时,它在以下URL执行一个脚本:
[http://]goo.gl/Bn[REMOVED]
然后,它执行役个GET请求到以下网址:
[http://]goo.gl/Bn[REMOVED]
当扩展在第一次运行时,它在单独的浏览器窗口打开Facebook和get.adobe.com/tr/flashplayer,然后它在显示器上弹出一个提示框,用土耳其语显示以下信息,Flash播放器已经更新:
Adobe Flash Player G++ncellendi.
接着,它会尝试连接到以下URL来执行其它恶意脚本:
[http://]goo.gl/3359O?[RANDOM NUMBER]
[http://]goo.gl/jFstw?[RANDOM NUMBER]
[http://]goo.gl/n9j3j?[RANDOM NUMBER]
然后,它将自己以及从下面URL获得的一份图像,分享给用户的Facebook好友:
[http://]i1.ytimg.com/vi/4kr_LlfqEqo/mqdefa[REMOVED]
该木马也可以连接以下网址:
[http://]whos.amung.us/widget/jaz8yyag[REMOVED]
[http://]widgets.amung.us/classic/37/3798[REMOVED]
[http://]sosyalpaket.com/ask[REMOVED]
[http://]sosyalpaket.com/youtu[REMOVED]
[http://]worldmedya.net/yeni[REMOVED]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Nawpers
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Nawpers是一个木马,它修改受感染的计算机的主引导记录(MBR),还可以在计算机上窃取信息。
为了达到针对性地攻击,它会利用漏洞的一部分。
该木马被执行时,会创建下列注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"Service" = "DrvInstallDemo"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"DeviceDesc" = "DrvInstallDemo"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\"NextInstance" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet_SpacE_Settings\Connections\"DefaultConnectionSettings" = "3c,00,00,00,11,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,1c,00,00,00,68,74,74,70,3a,2f,2f,31,37,32,2e,32,30,2e,39,35,2e,35,30,2f,77,70,61,64,2e,64,61,74,f0,1c,d2,2a,ea,18,ce,01,01,00,00,00,0a,0a,01,21,00,00,00,00,00,00,00,00"
HKEY_CURRENT_USER\Software\Microsoft\"systemkey" = "[PATH TO TROJAN]"
它还感染计算机的主引导记录。
然后,它可能从计算机上收集信息,然后将其发送到远程位置。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://lzcfc.**222.org
http://88899.**222.org
http://sepu.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供