2013年03月04日－03月10日计算机病毒预报

发布时间：2013-03-07浏览次数：980

W32.Faedevour

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述：

     W32.Faedevour是一个蠕虫，它在受感染的计算机打开一个后门，窃取信息。

    当蠕虫执行时，它会创建下列文件：

%Temp%\wtmps.exe

%UserProfile%\Application Data\Microsoft\Defender\launch.exe

%UserProfile%\Application Data\Microsoft\Caches\Files\usd.dll

%UserProfile%\Application Data\Microsoft\Repairs\sha.dll

%UserProfile%\Application Data\Microsoft\Shared\Modules\fil.dll

%UserProfile%\Application Data\Microsoft\Common\Shared\dis.dll

%UserProfile%\Application Data\Microsoft\Windows\Addins\att.dll

%UserProfile%\Application Data\Microsoft\Identities\[USER NAME]\arc.dll

    该蠕虫会创建以下注册表项，以开机启动：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"Windows Defender Extension" = "%UserProfile%\Application Data\Microsoft\Defender\launch.exe"

    然后，它从受感染的计算机窃取以下信息：

计算机名称

用户名

操作系统语言

MAC地址

IP地址

    它试图使用DNS协议连接到以下域：

a.gwas.perl.sh

a-gwas-01.slyip.net

a-gwas-01.dyndns.org

    然后，它接受远程攻击者的命令，执行以下操作：

列出正在运行的进程

截图

下载文件

发送文件给攻击者

列出目录

手机信息

运行命令提示符

    该蠕虫试图通过将自身复制到可以动驱动器和共享文件夹传播。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Sinflight

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

    Backdoor.Sinflight是一个木马，它在受感染的计算机上打开一个后门，并窃取计算机上的信息。

    该木马被执行时，会创建以下文件：

%CurrentFolder%\ntusr.ini

%CurrentFolder%\ntusrheart1.ini

%CurrentFolder%\hntusr2.ini

%CurrentFolder%\ntu.ini

    它创建下列互斥，确保计算机上只有一个实例在运行：

MYSERV[NUMBER]

    该木马会窃取受感染计算机的操作系统和网络适配器信息。

    该木马程序，在受感染的计算机上打开一哥后门，并连接到以下远程地址：

[http://]salam-sha.overblog.com

    然后，它可能在受感染的计算机上执行恶意的活动。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

OSX.Pintsized

警惕程度★★★

影响平台：MAC OS X

    OSX.Pintsized是一个木马，它在受感染的计算机上打开一个后门。

    该木马通过含有漏洞的文件生成。

    当木马被执行时，它会创建下列文件：

/Users/[USER NAME]/.cups/cupsd

    该木马在受感染计算机上打开一个后门，并可能连接到以下远程地址：

of the following domains:

cache.cloudbox-storage.com

corp-aapl.com

img.digitalinsight-ltd.com

pop.digitalinsight-ltd.com

预防和清除：

   不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。

Linux.SSHKit

警惕程度★★★

影响平台：Linux

    Linux.SSHKit是一个木马，它在受感染的计算机上打开一个后门,并窃取用户证书和认证密钥。

    当木马执行时，它会修改下列文件：

/lib/libkeyutils.so.1

    该木马可能会试图窃取用户凭据和认证密钥

    该木马可能会尝试连接到伪随机生成的域名或者下面的IP地址：

78.47.139.110

预防和清除：

   不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。

钓鱼网站提示：

**.**8866866666.com/

www.**7888888888.com/

www.**7888888888.com/analytics.php

www.**7888888888.com/app

**loadoadadd.**pornornrnn.cf.gs

挂马网站提示：

http://jump.**666.org

http://hj688.**222.org

http://wmgf.**222.org

http://88899.**222.org

http://sepu.**666.org

请勿打开类似上述网站，保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供