Trojan.Swaylib
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Swaylib是一个木马,它在受感染的计算机下载其他恶意软件。
当木马执行时,它会创建下列文件:
%Temp%\L2P.T
%UserProfile%\Application Data\cache\LangBar32.dll
然后该木马创建下列注册表子项:
HKEY_CURRENT_USER\Software\Microsoft\Multimedia\Other\"UT"
HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\[CLSID]\"FilePath" = "%UserProfile%\Application Data\cache\LangBar32.dll"
HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\[CLSID]\"Enable" = "0x1"
木马可以连接以下远程地址:
http://bolsilloner.es/index.php
然后,该木马下载其他恶意软件到受感染的计算机。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Egobot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Egobot是一个木马,它在受感染的计算机上下载其他恶意软件,并窃取计算机上的信息。
该木马可能通过电子邮件附件的.lnk文件链接,被下载到受感染的计算机上。
该木马被执行时,会删除以下文件:
%UserProfile%\Local Settings\Microsoft\Windows\Program\Startup\daxctle.dll
%UserProfile%\Local Settings\Microsoft\Windows\Program\Startup\detoured.dll
%UserProfile%\Local Settings\Microsoft\Windows\Program\Startup\winmsd.exe
该木马在启动时运行以下文件:
winmsd.exe
该木马读取恶意代码的dll文件daxctle.dll,并将它注入到下列进程中:
%System%\wuauclt.exe
%System%\alg.exe
%System%\spoolsv.exe
该木马会窃取以下系统信息:
Windows版本
安装服务包
安装语言
用户名
该木马会在受感染的计算机上打开一个后门,允许攻击者执行以下操作:
上传文件
在一个指定的路径搜索字符串
获取最近的文档列表
获取预定义项的注册表列表
删除特定的注册表项
获取进程列表
结束进程
获取磁盘信息
自我更新
获取摄像头信息
录制视频和拍摄屏幕截图
搜索设备麦克风
录制音频上传到远程服务器
卸载自身
删除还原点
该木马会连接到以下URL,并下载恶意文件:
www.geocities.jp/d2013one/1irst.tmp
该木马从以下远程服务器接收和发送命令:
202.71.111.11
202.190.181.76
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Bicol
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Bicol是一个木马,它修改受感染的计算机上的hosts文件,以此将用户发送的链接重定向到恶意网站。
该木马可能通过进入被攻击的网站,或者受感染的第三方软件传播到计算机上。
木马执行时,它会修改以下文件:
%System%\drivers\etc\hosts
该木马修改的hosts文件,当受感染计算机上的用户,对某个网站发送访问请求时,会被重定向到恶意的站点,被攻击者用来进行网络钓鱼攻击。
以下是被攻击的站点目标:
a1.userdail.ru
b5.userdail.ru
c1.userdail.ru
e.mail.ru
m.odnoklassniki.ru
m.vk.com
mail.ru
my.mail.ru
odnoklassniki.ru
vk.com
www.e.mail.ru
www.odnoklassniki.ru
www.yandex.ru
yandex.ru
该木马也从被感染的网站上下载恶意软件。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Boda
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Boda是一个木马,它在受感染的计算机上打开一个后门。
当木马执行时,它会创建下列文件:
%Temp%\seccenter.xxx
上面的文件,将会被复制到以下位置:
%UserProfile%\Application Data\config.sys
然后,该木马创建以下注册表项,以便达到开机运行木马的目的:
HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run\"Update" = "%UserProfile%\Application Data\googleupdate.exe"
它还将创建以下注册表项:
HKEY_CURRENT_USER\Software\Classes\"softbin" = "[BINARY DATA]"
接下来,该木马结束以下杀毒软件相关的进程:
360tray.exe
avp.exe
kxetray.exe
qqpctray.exe
然后,它可以将代码插入到计算机上的某些进程内。
接下来,该木马在受感染的计算机上打开一个后门,允许远程攻击者访问。
然后,该木马收集与系统相关的信息,并且将信息发送到远程地址。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://wmgf.**222.org
http://88899.**222.org
http://sepu.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供