Trojan.Rloader
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Rloader是一个木马,它可能在受感染的计算机上下载更多的文件,也可能修改和感染计算机上的文件。
当木马执行时,它可能会创建以下文件:
%System%\drivers\[RANDOM CHARACTERS FILE NAME ONE].sys
%System%\[RANDOM CHARACTERS FILE NAME TWO].exe
%Temp%\[RANDOM CHARACTERS FILE NAME THREE].exe
%System%\c_7265[RANDOM DIGIT].nls
然后,该木马修改%System%\drivers\etc\hosts文件,把特定的web地址,重定向到一个恶意的IP地址。
它还会修改以下文件:
%System%\drivers\.sys file
该木马可以在受感染的计算机上,执行以下操作:
显示弹出的消息
从远程地址下载恶意文件,并执行
感染驱动程序文件
通知远程攻击者,感染的结果
自我更新
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Mirafox
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Mirafox是一个木马,它在受感染的计算机上打开一个后门。
当木马执行时,它自我复制为以下文件之一:
%CurrentFolder%\csrss.exe
%CurrentFolder%\Reader_SL.exe
%CurrentFolder%\MSN.exe
接下来,木马会创建以下文件:
%UserProfile%\Start Menu\Programs\Startup\Update.bat
接着,它创建以下的注册表项,使得系统启动时,木马开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"Load" = "%CurrentFolder%\[THREAT FILE NAME].exe"
接着,它在受感染的计算上搜集以下信息:
计算机名称
CPU信息
操作系统版本
上面的信息可能会被发送到以下的远程控制与命令服务器之一:
2011fm.dyndns.org
create301.dyndns.info
tippi.dyndns-mail.com
ymhz1.dyndns.biz
另外,该木马打开一个后门,允许远程攻击者在受感染的电脑上执行以下操作:
创建文件
执行文件
读取文件
获取文件信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Nitol
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Nitol是一个木马,它在受感染的计算机上打开一个后门。
木马执行时,它会将自身复制为以下文件:
%ProgramFiles%\[SIX RANDOM CHARACTERS].exe
它会尝试停止以下进程:
RavMonD.exe
rfwsrv.exe
接着,它会尝试,从受感染的计算机上搜集以下信息:
计算机名称
区域设置
操作系统和版本
CPU信息
然后,它创建以下服务:
Service: MSUpd[RANDOM CHARACTERS]
Startup type: Automatic
Image path: %ProgramFiles%\[SIX RANDOM CHARACTERS].exe
Display name: Microsoft Windows Uqdate[RANDOM CHARACTERS] Service
Service: National[RANDOM CHARACTERS]
Startup type: Automatic
Image path: %System%\[SIX RANDOM CHARACTERS].exe
Display name: National[RANDOM CHARACTERS] Instruments Domain Service
然后,它打开一个后门,尝试连接到以下地址之一;
aisini1314.3322.org
daihao007.3322.org
rq00605.cn
ylddos.3322.org
ksattack.6600.org
safe.wbcode.com
bfdns1.spouv.com
20.vip.sh
zkem03.dns0755.net
119.195.85.167
qhrtk.wowip.kr
建立连接后,它会利用收集到的信息,通过DDos攻击到另外一台计算机上。
它还试图下载一个文件,并另存为以下文件:
%Temp%stf[FIVE RANDOM CHARACTERS].exe
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://iposchen.**222.org
http://wwwxxx.**666.org
http://nmll.**222.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供