Downloader.Nflog
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Downloader.Nflog是一个木马,它下载恶意软件,并从受感染的计算机上窃取信息。
当木马执行时,它将自己注册为以下服务:
Description: IPv6 Stack Local Support
ImagePath: %SystemDrive%\System32\svchost.exe -k netsvcs
Startup type: Automatic
它创建下列注册表子项,注册上述的服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP
接着,它检查网络连接,并尝试连接到以下位置:
www.microsoft.com
如果连接失败,它尝试修改一下注册表子项中的代理设置,以建立一个连接:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Micorsoft\Windows\CurrentVersion\Internet Settings\ProxySettingsPerUser
一旦网络连接已经建立,该木马会下载下面的可执行文件:
%Windir%\temp\MSMAPI.OCX:
接下来,木马会创建下面的注册表项,来标记该计算机已经被感染:
HKEY_CURRENT_USER\Software\Microsoft\Clock\"HID" = "[RANDOM HEXADECIMAL VALUE]"
然后,该木马收集系统信息,并将下列信息发送到远程的命令与控制服务器:
最近访问过的文件列表
一个正在运行的进程列表
一个正在运行的服务列表
可用的网络共享
已建立的连接和端口
硬件信息,如BISO,网卡等
网络适配器信息
操作系统信息,如版本,产品ID,注册的所有者等
接下来,该木马可以下载更多的恶意软件到受感染的计算机上。
病毒行为流程分析:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Batchwiper
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Batchwiper是一个木马,它在受感染的计算机上删除用户文件夹内的文件和某些磁盘分区上的所有文件。
当木马执行时,它创建下列文件:
%System%\sleep.exe (non-malicious, legitimate file)
%System%\juboot.exe
%System%\jucheck.exe
然后,创建以下的注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"jucheck.exe" = "%System%\jucheck.exe"
然后,它删除以下文件:
%System%\juboot.exe
%UserProfile%\Start Menu\Programs\Startup\[TROJAN].exe
接下来,木马删除下面文件夹及其子文件夹中的每一个文件:
%UserProfile%\Desktop
它也可以删除以下驱动器中的每个文件:
D
E
F
G
H
I
该木马只会在下列时间段内删除文件:
Dec 10, 2012 - Dec 12, 2012
Jan 21, 2013 - Jan 23, 2013
May 6, 2013 - May 8, 2013
July 22, 2013 - July 24, 2013
Nov 11, 2013 - Nov 13, 2013
Feb 3, 2014 - Feb 5, 2014
May 5, 2014 - May 7, 2014
Aug 11, 2014 - Aug 13, 2014
Feb 2, 2015 - Feb 4, 2015
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Tbot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan.Tbot是一个木马,它在受感染的计算机上打开一个后门,它还下载和安装其他恶意软件,窃取信息。
当木马执行时,它会创建以下文件:
C:\Documents and Settings\Administrator\Application Data\[RANDOM CHARACTERS FOLDER NAME]\[RANDOM CHARACTERS FILE NAME].exe
C:\Documents and Settings\Administrator\Application Data\[RANDOM CHARACTERS FOLDER NAME]\[RANDOM CHARACTERS FILE NAME].tmp
C:\Documents and Settings\Administrator\Application Data\[RANDOM CHARACTERS FOLDER NAME]\[RANDOM CHARACTERS FILE NAME].upp
C:\Documents and Settings\Administrator\Application Data\tor\cached-certs
C:\Documents and Settings\Administrator\Application Data\tor\cached-consensus
C:\Documents and Settings\Administrator\Application Data\tor\cached-descriptors
C:\Documents and Settings\Administrator\Application Data\tor\cached-descriptors.new
C:\Documents and Settings\Administrator\Application Data\tor\hidden_service\hostname
C:\Documents and Settings\Administrator\Application Data\tor\hidden_service\private_key
C:\Documents and Settings\Administrator\Application Data\tor\lock
C:\Documents and Settings\Administrator\Application Data\tor\state
C:\Documents and Settings\Administrator\Local Settings\Temp\OpenCL.dll
然后它创建以下注册表项:
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Run\{58918AFF-36B7-5CDE-6038-278B35A6192F}: "C:\Documents and Settings\Administrator\Application Data\[RANDOM CHARACTERS FOLDER NAME]\[RANDOM CHARACTERS FILE NAME].exe"
然后,它将自身复制到以下位置:
%UserProfile%\Application Data
该木马会创建一个目录,名称随机,并重新命名一个随机字符串。
木马将自身注入到svchost.exe进程,并终止原有的进程。
该木马连接到一个IRC频道并接受命令,可以执行以下操作:
从受感染的电脑中窃取信息,并发送给远程攻击者
从远程地址下载并执行文件
下载文件并注入到正在运行的进程中
连接到任意的URL
设置SOCKS代理
支持DDOS攻击
该木马会删除下列文件:
Tor
Trojan.Zbot
CGMiner
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://nmll.**222.org
http://mishiyy.**222.org
http://kaihao.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供