Trojan.Winlock
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Winlock是一个木马,它锁定受感染计算机的桌面,使计算机无法使用。
该木马执行时,会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "[CURRENT DIRECTORY]/[TROJAN]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "[CURRENT DIRECTORY]/[TROJAN]"
然后该木马锁定计算机桌面,使该计算机无法使用。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Picsteal
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Picsteal是一个木马,它复制受感染计算机上的图象文件,并上传到远程地址。
该木马必须通过手动打开才能安装。
该木马执行时,会搜索下列计算机上的驱动器:
C
D
E
接着,该木马在受感染计算机上搜索所有下列后缀名的文件,并把他们放到计算机的C驱动器上:
.dmp
.jpeg
.jpg
然后该木马复制这些文件,并上传到远程的FTP服务器:176.9.208.90:21
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Korplug
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Korplug是一个木马,它在受感染的计算机上打开一个后门,并从受感染计算机上窃取信息。
该木马执行时,它会创建以下文件:
%UserProfile%\SxS\bug.log
%UserProfile%\SxS\Nv.exe
%UserProfile%\SxS\Nv.mp3
%UserProfile%\SxS\NvSmartMax.dll
%UserProfile%\SxS\rc.exe
%UserProfile%\SxS\rc.hlp
%UserProfile%\SxS\rcdll.dll
接下来,该木马尝试连接下列远程IP地址,并在受感染的计算机上打开一个后门:
ceraccoux.justdied.com
exchange.likescandy.com
facebook.blogdns.nst
fortune-creative.com
gameby.flower-show.org
ns10.itemdb.com
该木马允许远程攻击者执行以下操作:
打开远程命令
击键记录
窃取计算机及网络信息
屏幕截图
该木马把窃取的信息发送到远程地址
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
W32.Addnu
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
W32.Addnu是一个蠕虫,它通过可移动驱动器传播,并在受感染计算机上打开一个后门。
该蠕虫执行时,会复制自身到以下位置之一:
%UserProfile%\Local Settings\Application Data\Microsoft\svchost.exe
%UserProfile%\Local Settings\Application Data\Microsoft\rundll32.exe
接着,它修改下列的注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Update" = "%UserProfile%\Local Settings\Application Data\Microsoft\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Update" = "%UserProfile%\Local Settings\Application Data\Microsoft\rundll32.exe"
然后,该蠕虫连接到下列远程地址,并在受感染的计算机上打开一个后门:
64.34.185.21
远程控制与命令服务器端,可以向受感染计算机发送以下指令:
ARME
CLOSE
DOWNLOAD
HTTP
PASSWORDS
PING
RESTART
SHOWDNS
SLOW
STOPFLOOD
SYN
UDP
UNINSTALL
UPDATE
WEBSITE
该蠕虫将自身复制到可移动驱动器上传播
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://hj688.**222.org
http://nmll.**222.org
http://ttrdey54.**222.org
http:// aoshuntong56.**222.org
http://eurolink.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供。