W32.Jabberbot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
W32.Jabberbot是一个蠕虫,它通过可移动驱动器传播,在受感染的计算机打开一个后门。
当蠕虫执行时,它会创建下列文件:
%System%\[RANDOM FILE NAME].exe
该蠕虫会创建以下注册表项,以开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"EXPLORER" = "%System%\[RANDOM FILE NAME].exe"
该蠕虫可以尝试通过可移动驱动器传播,将自身复制为以下文件:
%DriveLetter%\2_luxaeternabytaenarongc3luxaeternabytaenaluxaeternabytaenaluxaeternabytaena.scr
然后,它在受感染的计算机打开后门,通过XMPP网络通信,允许远程攻击者执行一下操作:
删除文件
上传文件
执行文件
执行命令
下载文件
访问网站
收集系统信息
导航和列出目录的内容
运行自身
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Miniduke
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Miniduke是一个木马,它在受感染的计算机上打开一个后门,它还可以下载和安装额外的恶意软件。
该木马被执行时,会创建以下文件:
%AppData%\[FILE NAME].[EXT]
%UserProfile%\Local Settings\Temporary Internet Files\eu_advisory.pdf
%AllUsersProfile%\Application Data\Adobe\[FILE NAME].[EXT]
注:[FILE NAME]和[EXT]都是可变的
它创建下列文件,以便开机启动自身:
%UserProfile%\Start Menu\Programs\Startup\[FILE SHORTCUT].lnk
它会创建下列互斥:
Qomkige
该木马会终止下列正在运行的进程:
apispy32.exe
apimonitor.exe
winapioverride32.exe
procmon.exe
filemon.exe
regmon.exe
winspy.exe
wireshark.exe
dumpcap.exe
tcpdump.exe
tcpview.exe
windump.exe
netsniffer.exe
iris.exe
commview.exe
ollydbg.exe
windbg.exe
cdb.exe
ImmunityDebugger.exe
syser.exe
idag.exe
idag64.exe
petools.exe
vboxtray.exe
vboxservice.exe
procexp.exe
vmtoolsd.exe
vmwaretray.exe
vmwareuser.exe
该木马可以连接到以下网址,获得受感染计算机的国家代码:
[http://]www.geoiptool.com
该木马程序,在受感染的计算机上打开一个后门,并允许攻击者执行役喜爱操作:
下载附加文件
执行文件
删除,复制,移动或重命名文件
创建目录
终止进程
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Betabot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Betabot是一个木马,它在受感染的计算机上打开一个后门。
当木马被执行时,它会将自身复制到下列位置:
%ProgramFiles%\Common Files\[TROJAN FOLDER NAME].{2227A280-3AEA-1069-A2DE-08002B30309D}\[NINE RANDOM LOWER CASE CHARACTERS].exe
接着,它创建下列注册表项,以便开机运行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[TROJAN FOLDER NAME]" = "[PATH TO TROJAN EXECUTABLE]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[TROJAN FOLDER NAME]" = "[PATH TO TROJAN EXECUTABLE]"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run\"[TROJAN FOLDER NAME]" = "[PATH TO TROJAN EXECUTABLE]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"[TROJAN FOLDER NAME]" = "[PATH TO TROJAN EXECUTABLE]"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"[TROJAN FOLDER NAME]" = "[PATH TO TROJAN EXECUTABLE]"
它也可以创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[TROJAN FILE NAME]\"Time" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[TROJAN FILE NAME]\"DisableExceptionChainValidation" = ""
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\TaskManager\"Task Service ID" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows NT\CurrentVersion\TaskManager\"Task Service ID" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TaskManager\"Task Service ID" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_CURRENT_USER\Software\Win7zip\"Uuid" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_ALL_USERS\.default\Software\Win7zip\"Uuid" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\Win7zip\"Uuid" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_ALL_USERS\.default\Software\Classes\CLSID\[RANDOM GUID]\[EIGHT HEXADECIMAL CHARACTERS]\CW1\"[THREE OR FOUR DIGITS]" = "[HEXADECIMAL CHARACTERS]"
该木马会修改下列注册表项,用来设置较低的Internet安全设置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"2500" = "3"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"2500" = "3"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"2500" = "3"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"2500" = "3"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"2500" = "3"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"2500" = "3"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"2500" = "3"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"2500" = "3"
它还会修改以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\SSDPSRV\"Start" = "2"
HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Update\Policy\"EnableJavaUpdate" = "0"
接着,该木马会创建一个隐藏的iexplore.exe进程,并注入代码。
然后,它会连接到下列地址之一,并在受感染计算机上打开一个后门,允许远程攻击者访问受感染计算机:
[http://]webhostingprotection.info/icool/orde[REMOVED]
[http://]assler.hfgfr56745fg.com/cakes/sale[REMOVED]
该木马,接着会结束所有打开的窗口,包括explorer.exe
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Labapost
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Labapost是一个木马,它在受感染的计算机上窃取机密信息。
当木马执行时,它会创建下列文件:
%Temp%\FlashPlayInstall.exe
%SystemDrive%\ProgramData\ATS.exe
%SystemDrive%\ProgramData\Interop.HyCam2.dll
%SystemDrive%\ProgramData\Rar.exe
%SystemDrive%\ProgramData\WindowsUpdater.exe
同时,它也生成下列文件,这些文件可以用来进行屏幕录制:
%ProgramFiles%\HyCam2\CamRes2.dll
%ProgramFiles%\HyCam2\HyCam2.exe
%ProgramFiles%\HyCam2\MClick2.dll
该木马创建下列注册表项,以开机启动木马:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Updater" = "%SystemDrive%\ProgramData\WindowsUpdater.exe"
HKEY_CLASSES_ROOT\CLSID\[CLSID]\LocalServer32\"(Default)" = "%ProgramFiles%\HyCam2\HyCam2.exe"
它还创建下列注册表项:
HKEY_CURRENT_USER\Software\Hyperionics\HyperCam 2\State\"Status" = "1"
HKEY_CURRENT_USER\Software\Intel\Indeo\5.0\"Transparency" = "1"
HKEY_CURRENT_USER\Software\Intel\Indeo\5.0\"QuickCompress" = "0"
HKEY_CURRENT_USER\Software\Intel\Indeo\5.0\"Scalability" = "0"
HKEY_CURRENT_USER\Software\Intel\Indeo\5.0\"EnabledAccessKey" = "0"
HKEY_CURRENT_USER\Software\Intel\Indeo\5.0\"AccessKey" = "0"
HKEY_CURRENT_USER\Software\Intel\Indeo\5.0\"MinViewportHeight" = "0"
HKEY_CURRENT_USER\Software\Intel\Indeo\5.0\"MinViewportWidth" = "0"
该木马会模仿浏览器的样式,在Web浏览器上覆盖一个窗口。该窗口在某些特定银行网页被打开时激活显示。并启动屏幕录制软件,用来记录用户的登录信息,并包含下列内容:
帐户号码
出生日期
电话号码
个人身份号
然后,该木马将采集到的信息通过FTP或者电子邮件发送给攻击者。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://tjjunsen.**666.org
http://wmgf.**222.org
http://88899.**222.org
http://sepu.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供