Backdoor.Nflog
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Nflog是一个木马,它下载恶意软件,并从受感染的计算机上窃取信息。
当木马执行时,它删除以下文件:
%CommonProgramFiles%\Driver\IntelAMTPP.dll
它创建下列注册表子项,以便Windows启动时,木马启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSP\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSP\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSP\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSP\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSP\0000\"DeviceDesc" = "WmdmPmSp"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSP\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSP\0000\"Service" = "WmdmPmSp"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\"Description" = "Windows Infrared Port Monitor."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\"ImagePath" = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\"Type" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\Parameters\"ServiceDll" = "%ProgramFiles%\Common Program Files\Driver\IntelAMTPP.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\Security\"Security" = "[BINARY DATA]"
接着,它尝试连接下面的远程与控制服务器:
ct.datangcun.com
该木马可以执行一下操作:
下载文件
执行文件
查找并上传文件
执行shell命令
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Mowhorc
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Mowhorc是一个木马,它会感染的计算机上的doc和docx文件。
当木马执行时,它创建下列文件:
%WinDir%\Temp\_$Cf\[TROJAN].docx
%WinDir%\Temp\_$Cf\[TROJAN].docx
%WinDir%\Temp\_$Cf\osk.exe
%System%\WINWORD.exe
%System%\Com\ctfmoon.exe
然后,创建以下的注册表项,以便开机启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ctfmoon.exe" = "%System%\Com\ctfmoon.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"AUTOWORD" = "%System%\WINWORD.EXE"
然后,它搜索扩展名为doc或者docx的文件,对文件进行加密并加载自身的恶意代码,然后把原文件的扩展名改为.exe。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Ranbot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan.Ranbot是一个木马,它在受感染的计算机上打开一个后门,并窃取信息。
当木马执行时,它会创建以下文件:
%System%\[RANDOM CHARACTERS].exe
%Temp%\RGI1.tmp
然后它创建以下注册表项,并注入到svchost进程中,并添加一个防火墙策略:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\svchost.exe" = "%System%\svchost.exe:*:Enabled:\[RANDOM CHARACTERS]"
该木马会修改一下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"[RANDOM CHARACTERS]" = "%System%\[RANDOM CHARACTERS].exe"
该木马会注入到网页浏览器,并执行一下操作:
监控互联网流量
收集银行信息
注:该木马以Alfa银行信息为探测目标
然后,该木马在受感染计算机上打开一个后门,并允许远程攻击者执行下列操作:
下载文件
执行文件
上传文件
该木马可能尝试连接到以下远程地址:
softsystem.pro
buhsoft.pro
ajxmlgat.org
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://cydn8858888.**222.org
http://88899.**222.org
http://ttrdey54.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供