TSPY_PIXSTEAL.A
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Swisyn是一个木马,他在受感染的计算机上窃取信息。
接着,它创建下列的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List{malware path and filename} = "{malware path and filename}:*:Enabled:{Port}"
接着,它将窃取到的信息上传到以下远程地址:
ftp://xxx.xxx.208.90
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
删除该注册表键值。
TSPY_ZBANKER.A
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Chromext是一个木马,它窃取受感染计算机上的信息。
该木马会创建以下文件 :
%Program Files%\IEHelper\IeHelper.dll%User
%Profile%\IEHelper\visited.dat
该木马在复制自身到以下地址:
%System%\UpDate.exe
接着,它创建以下的文件夹:
%Program Files%\IEHelper
%User Profile%\IEHelper
它添加下列注册表项,在系统每次启动时自行执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IEHelpRun = "%System%\UpDate.exe"%CurrentFolder%\scvhost.exe
它通过添加下列注册表键值注册为 BHO,确保在每次使用 Internet Explorer 时自动执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BBC9FDC7-26C6-4BED-B907-68BD01C058E2}
它添加下列注册表键值:
HKEY_CLASSES_ROOT\CLSID\{BBC9FDC7-26C6-4BED-B907-68BD01C058E2}
HKEY_CLASSES_ROOT\Interface\{5D120EBF-7215-4665-BEBF-0FED811643AA}
HKEY_CLASSES_ROOT\TTIEBHO.IEHelper.1
HKEY_CLASSES_ROOT\TTIEBHO.TrackIE
HKEY_CLASSES_ROOT\TypeLib\{C8915F1F-B84E-4AA0-9648-E2CC8E4A194C}
它收集下列数据:
MAC address
Internet explorer version
Operating system version
它记录用户的按键,窃取信息
它通过 HTTP POST 将收集的信息发送到下列 URL:
http://{BLOCKED}o.{BLOCKED}0.my5m.com/tongji/123321/count.asp?mac={MAC address}&iever={IE version}&os={OS version}
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
重启进入安全模式,删除下列注册表键值(红色部分):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
{BBC9FDC7-26C6-4BED-B907-68BD01C058E2}
HKEY_CLASSES_ROOT\CLSID
{BBC9FDC7-26C6-4BED-B907-68BD01C058E2}
HKEY_CLASSES_ROOT\Interface
{5D120EBF-7215-4665-BEBF-0FED811643AA}
HKEY_CLASSES_ROOT
TTIEBHO.IEHelper.1
HKEY_CLASSES_ROOT
TTIEBHO.TrackIE
HKEY_CLASSES_ROOT\TypeLib
{C8915F1F-B84E-4AA0-9648-E2CC8E4A194C}
搜索和删除下列文件夹:
%Program Files%\IEHelper
%User Profile%\IEHelper
TSPY_PASSTEAL.A
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan.Klovbot是一个木马,它窃取受感染计算机上的信息。
该木马在受感染计算机上生成以下文件:
%User Temp%\{random}.exe
%User Temp%\cvtres.exe
%System Root%\DOCUMENTS
%User Profile%\Application Data\{computer name}.txt
该木马将窃取的文件上传到下列FTP(文件传输协议)站点::
ftp://{BLOCKED}.{BLOCKED}.67.232
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
重启进入安全模式,搜索和删除下列文件:
%User Temp%\cvtres.exe
%System Root%\DOCUMENTS
%User Profile%\Application Data\{computer name}.txt
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://wmgf.**222.org
http://jiayuquan.**222.org
http://jiamuoa.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供