Backdoor.Barkiofork
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Barkiofork是一个木马,它在受感染的计算机上打开一个后门。
该木马一般通过电子邮件形式感染。
该木马执行时,会创建以下文件:
%Windir%\ntshrui.dll
接着,它会修改以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\DesktopProcess\"DesktopProcess" = "1"
生成的文件%Windir%\ntshrui.dll会注入进程explorer.exe中,并在受感染的计算机上打开一个后门,允许远程攻击者执行以下操作:
下载并执行远程文件
上传系统信息,例如:操作系统版本、登陆的用户、磁盘空间信息、CPU信息等
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Moudoor
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Moudoor是一个木马,它在受感染的计算机上打开一个后门。
该木马执行时,会创建以下文件:
%ProgramFiles%\Symantec\LiveUpdate\VPTray.exe
%Temp%\VPTray.exe
%Temp%\svohost.exe
%Windir%\up.bak
%System%\KB1035627.dat
接着,它会创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\"SymantecLiveUpdate" = "%ProgramFiles%\Symantec\LiveUpdate\VPTray.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\"SymantecLiveUpdate" = "%ProgramFiles%\Symantec\LiveUpdate\VPTray.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Update" = "%Temp%\svohost.exe"
接着,该木马会在受感染的计算机上打开一个后门,并试图连接以下远程地址:
usc-data.suroot.com
134.255.242.47:443
58.64.155.59:80
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Tinba
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Tinba是一个木马,它在受感染的计算机上窃取信息。
该木马执行时,它会将自身复制到以下位置:
%SystemDrive%\Documents and Settings\All Users\Application Data\default\bin.exe
该木马会修改以下文件来禁止FIREFOX浏览器访问不安全网站时发出的警告:
%SystemDrive%\Documents and Settings\All Users\Application Data\Mozilla\Firefox\Profiles\[USER PROFILE NAME]\user.js
接下来,该木马会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"default" = "%SystemDrive%\Documents and Settings\All Users\Application Data\default\bin.exe"
接下来,它会修改以下注册表项,修改IE设置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1609" = "0"
接下来,该木马将自身注入到以下进程:
iexplore.exe
chrome.exe
firefox.exe
然后,结束以下进程:
explorer.exe
svchost.exe
接下来,木马会监控网络流量,并把信息记录在以下文件中:
%SystemDrive%\Documents and Settings\All Users\Application Data\default\web.dat
然后,将窃取的信息发送到以下远程控制与命令服务器之一:
[http://]dakotavolandos.com
[http://]dakotavolandos.com
[http://]dak1otavola1ndos.com
[http://]dako22tavol2andos.com
[http://]d3akotav33olandos.com
[http://]d4ak4otavolandos.com
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
W32.Phopifas
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
W32.Phopifas是一个蠕虫,它通过Skype和Windows live message传播。
该蠕虫会根据受感染计算机的网络设置,对在Skype和Winodws live message上的所有联系人,发送以下消息之一:
hey é essa sua foto de perfil?
hej je to vasa nova slika profila?
hey c'est votre nouvelle photo de profil?
¿hey esta es tu nueva foto de perfil?
hey ini foto profil?
hei er dette din nye profil bilde?
hej to jest twój nowy obraz profil?
hey ito sa iyong larawan sa profile?
¿aquesta és la teva nova foto de perfil?
hej detta är din nya profilbild?
hej jeli ovo vasa nova profil skila?
hey là anh tieu cua ban?
sa k’vo profili lusankary
hey è la tua immagine del profilo nuovo?
tas ir jusu jauna profila bildes?
moin, kaum zu glauben was für schöne fotos von dir auf deinem profil
hei zhè shì ni de gèrén ziliào zhàopiàn ma?
hey bu yeni profil pic?
ni phaph porfil khxng khun?
hej er det din nye profil billede?
lol is this your new profile pic?
hoi schöni fotis hesch du uf dim profil öppe nöd?
hé ez az új profil kép?
on tämä uusi profiilikuva?
eínai aftí i néa fotografía profíl sas?
hej je to tvuj nov
hey is dit je nieuwe profielfoto?
tung, cka paske lyp ti nket fotografi?
该消息还包括下面的恶意连接:
[http://]goo.gl/[REMOVED]sx?img=[USER ID]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://hbshendan.**222.org
http://www.**kazi24azi24zi24i24244
http://89ky5.**222.org
http://f45g.**222.org
http://www.**anpunpupuu.cn
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供