W32.Flamer.B
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
W32.Flamer.B是一个蠕虫,它通过可移动驱动器传播,它在受感染的计算机上打开一个后门,窃取受感染计算机上的信息。
该木马执行时,会创建以下文件:
%System%\icsvnt32a.ocx
%System%\icsvnt32.ocx
%UserProfile%\Local Settings\Temp\tksp1.tmp
%UserProfile%\Local Settings\Temp\tksp2.tmp
%UserProfile%\Local Settings\Temp\tksp3.tmp
%UserProfile%\Local Settings\Temp\tksp4.tmp
%UserProfile%\Local Settings\Temp\tksp7.tmp
%UserProfile%\Local Settings\Temp\tksp8.tmp
%UserProfile%\icsvntu32.ocx
%UserProfile%\mstlis.log
%UserProfile%\mstlis.log
%UserProfile%\petsec.sys
%UserProfile%\Wnm.tmp
%UserProfile%\icsvntu32.ocx
%UserProfile%\datFE2B.da1
%UserProfile%\tmp34A2.da2
%UserProfile%\datFE2A.tmp
%UserProfile%\datFE2B.da1
%System%\es.dll
%System%\mydocs.dll
接着,它会修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E14FBA2-2E22-11D1-9964-00C04FBBB345}\InprocServer32
该蠕虫会创建以下事件:
Global\AdvTW32AutoDetect
Global\AdvTW32Ready440WfEvent
Global\AdvTW32SyncEvent
Global\EPOAgentEvent
Global\ShellTRPInitEvent
Global\ShlZoneSynchMutex
Global\TUSEvent
该蠕虫从受感染计算机上搜集以下信息:
主机名
Windows版本
网络适配器信息
该蠕虫在受感染的计算机打开一个后门,并连接到以下远程地址之一:
109.235.49.20
webupdate.hopto.org
webapp.serveftp.com
web.autoflash.info
web.velocitycache.com
webupdate.dyndns.info
cache.dyndns.info
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Ecltys
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Ecltys是一个木马,它在受感染的计算机上打开一个后门。
该木马通过邮件传播,它作为邮件的附件。
该木马执行时,会创建以下文件:
fxsst.dll
接着,该木马会在受感染的计算机上打开一个后门,并试图连接以下远程地址:
squik.bigish.net
happy.hugesoft.org
[https://]10.10.1.1/api/get_attention_num/adf[REMOVED]
[https://]10.10.1.1/loa/database3/sun.[REMOVED]
[https://]10.10.1.1/pp/core/cgi/wor[REMOVED]
[https://]10.10.1.1/sheq/por/blomofun/bord[REMOVED]
[https://]10.10.1.1/status/MutiqueryVP/ma[REMOVED]
[https://]10.10.1.1/sub/cgi-bin/gm[REMOVED]
[https://]10.10.1.1/uc/myshow/blog/misc/gif/show[REMOVED]
[https://]10.10.1.1/images/ic[REMOVED]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Smowbot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Tinba是一个木马,它在受感染的计算机上打开一个后门,并下载恶意文件到受感染的计算机上。
该木马执行时,它会将自身复制为以下文件:
%System%\actxprxy.exe
%System%\admparse.exe
接下来,该木马会创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"smwcore" = "%System%\admparse.exe"
接下来,它会创建以下注册表项,用来绕开Windows的防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\actxprxy.exe" = "%System%\actxprxy.exe:*:Enabled:enable"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\admparse.exe" = "%System%\admparse.exe:*:Enabled:enable"
该木马还会修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\"ConsoleTracingMask" = "4294901760"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\"EnableConsoleTracing" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\"EnableFileTracing" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\"FileDirectory" = "%Windir%\tracing"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\"FileTracingMask" = "4294901760"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\"MaxFileSize" = "1048576"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\"Active" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\"ControlFlags" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\"LogSessionName" = "stdout"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\Napmontr\"BitNames" = "NAP_TRACE_BASE NAP_TRACE_NETSH"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\Napmontr\"Guid" = "710adbf0-ce88-40b4-a50d-231ada6593f0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\"Active" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\"ControlFlags" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\"LogSessionName" = "stdout"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\traceIdentifier\"BitNames" = "Error Unusual Info Debug"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\traceIdentifier\"Guid" = "b0278a28-76f1-4e15-b1df-14b209a12613"
接下来,该木马尝试连接远程的控制与命令服务器,它允许攻击者执行以下操作:
下载文件
执行文件
自我更新
发送垃圾邮件传播木马
该木马使用以下的IP地址和端口号:
178.238.134.130:999
176.9.165.220:999
188.190.122.92:999
109.206.176.19:999
94.242.214.207:999
124.217.239.109:999
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Zatvex
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Zatvex是一个木马,它监控受感染计算机的网络,并对通信进行重定向。
该木马执行时,会创建以下文件:
%System%\zzvetza.dll
接着,它修改下列的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\zzvetza.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"LoadAppInit_DLLs" = "1"
然后,该木马重启计算机。
该木马会搜集受感染计算机上的信息,并发送到以下地址:
[http://]yandexdns.com/loPtfdn3dSasoicn/get[REMOVED]
它会下载一个配置文件,允许它执行各种操作。
该木马可以监控网络,并对网络通信进行重定向。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://hj688.**222.org
http://wmgf.**222.org
http://ttrdey54.**222.org
http://sdfsdss12.**222.org
http: //aoshuntong56.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供