Trojan.Swisyn
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Swisyn是一个木马,他在受感染的计算机上生成别的恶意文件。
该木马执行时,会创建下列文件:
%Temp%\cmp.z
%Temp%\big.t
%Temp%\~natty0
%Temp%\~natty1
%Temp%\~natty2
%Temp%\cfg.ax
注意:有些文件可能被重命名或者删除
接着,它创建下列的注册表项,使得系统启动时,木马也开始执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[VARIABLE]" = "%Temp%\[VARIABLE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[VARIABLE]" = "rundll32.exe %Temp%\[VARIABLE] [EXPORTED FUNCTION] 0"
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Chromext
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Chromext是一个木马,它在受感染计算机上打开一个后门,并试图窃取受感染计算机上的信息。
该木马会下载以各Chrome的浏览器扩展 :
该木马在执行时,可能删除以下文件:
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\TODO
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\sha1.h
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\sha1.c
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\LICENSE
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\INSTALL
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\main.js
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\icon.png
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\Makefile
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\make.bat
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\manifest.json
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\jquery.min.js
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\background.js
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\background.html
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\sha1_pwcrack.cc
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\sha1_pwcrack.nmf
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\sha1_pwcrack_64.o
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\sha1_pwcrack_32.o
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\sha1_pwcrack_x86_64.nexe
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\sha1_pwcrack_x86_32.nexe
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\pack_extension.bat
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Extensions\fmphgefonmnoadmehmejfjnbmgoolboc\[EXTENSION VERSION]\pack_extension - Copy.bat
接着,它试图窃取输入到Chrome浏览器的用户名和密码,它还试图窃取计算机内的COOKIES。
%CurrentFolder%\scvhost.exe
该木马还会收集用户信息,并把他发送到远程服务器地址,它也可以从远程服务器下载文件。
该木马在受感染的计算机上打开一个后门,等待远程攻击者的命令。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Klovbot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Klovbot是一个木马,它窃取受感染计算机上的信息。
该木马可能通过电子邮件方式传播,也可能以下列形式被下载到计算机上:
%CurrentFolder%\EasyBot.exe
%CurrentFolder%\MicroServIp.exe
%CurrentFolder%\Postales.exe
%CurrentFolder%\Postal_Gusanito.exe
该木马执行时,它将自身复制到以下位置:
%Windir%\csrcs.exe
接下来,该木马会创建下列注册表项,使得Windows启动时,木马也开始执行:
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\"Microsofts" = "%Windir%\csrcs.exe"
接下来,该木马连接到远程服务器,并下载恶意的hosts文件,并将文件保存到下列位置:
%System%\drivers\etc\hosts
修改hosts文件,将用户的合法网站,重定向到恶意站点。
然后,该木马从受感染计算机上,窃取信息。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
**loadoadadd.**pornornrnn.cf
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://yywsj.**222.org
http://jiayuquan.**222.org
http://jiamuoa.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供