Trojan.Antivar
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Antivar是一个木马,它在受感染计算机上打开一个后门。
当木马被执行时,它会复制自身到以下位置:
%System%\[RANDOM CHARACTERS].exe
该木马会创建以下注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServerNabs4\Security\"Security" = [BINARY NUMBERS]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServerNabs4\"Type" = "272"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServerNabs4\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServerNabs4\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServerNabs4\"ImagePath" = "%System%\[RANDOM CHARACTERS].exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServerNabs4\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServerNabs4\"DisplayName" = "ServerNabs4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVERNABS4\0000\"Service" = "ServerNabs4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVERNABS4\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVERNABS4\0000\"DeviceDesc" = "ServerNabs4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVERNABS4\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVERNABS4\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVERNABS4\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVERNABS4\"NextInstance" = "1"
该木马会创建一个如下服务,并在每次Windows启动时自动启动:
Service Name: ServerNabs4
Image Path: %System%\[RANDOM CHARACTERS].exe
该木马程序,创建以下文件:
%SystemDrive%/Documents and Settings/LocalService/Local Settings/Application Data/sLT.exf
该木马在受感染的计算机上打开一个后门,并连接到以下远程域之一:
zevs.tf9.ru
domenic.mcdir.ru
kandaklik.net
svetizokna.ru
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Infostealer.Limitail
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Infostealer.Limitail是一个木马,它在受感染的计算机上收集信息。
当木马执行时,它会将自身复制到以下位置:
%UserProfile%\Application Data\Microsoft\SysAudio.exe %System%\wbem\wmiqry32.dll
接着,它会创建以下文件夹:
C:\Documents and Settings\Administrator\Application Data\Microsoft\Backups
接着,该木马将把屏幕截图,并保存到以下位置:
%UserProfile%\Application Data\Microsoft\Credentials\screen[NUMBER].png
该木马接下来会创建以下注册表,以在Windows启动时,木马也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Google Updater" = "%UserProfile%\Application Data\Microsoft\SysAudio.exe"
该木马还记录了以下信息:
击键记录
打开窗口的标题栏
然后将窃取的信息,以电子邮件形式发送到以下地址:
limitlessmail.3owl.com/LimitlessEmail.php
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan/Generic.apyqx
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan/Generic.apyqx 是一款信息收集的下载者,针对特定的进程进行恶意病毒的下载,如果当前系统内进程无下载配置文件列表中相同的信息,则不对系统进行下载,初次运行会先检测当前系统环境操作系统系统版本,本机机器名,MAC地址,是否有敏感进程(如QQ)等这些,都会收集发送到黑客自己的服务器上,并将自身复制到软件安装目录下,“C:\Program Files\Common Files”名称为“lsass.exe”,(lsass.exe是微软自身系统文件,它用于本地安全和登陆策略 ),这里病毒伪装成”lsass.exe“是用来欺骗用户。在安全软件发现威胁的时候诱导用户点击放过。并且运行过程程序不会自删,监视系统内进程的创建,发现敏感线程则读取服务器中的病毒进行下载,配置文件为加密的INI文件,Windows提供一组API供操作INI文件,在配置文件解析上变得很简单。在重启后此病毒并不会随系统启动而启动。
样本初次运行后会搭建执行环境,将自身复制到“C:\Program Files\Common Files”目录下并重命名为“lsass.exe”。运行伪装的“lsass.exe”后,便进入遍历当前进程列表的工作流程,将当前进程列表完全保存起来,取得当前系统的机器名,网卡地址,后开始连接网络,下载配置文件到本地,存储在“C:\Program Files\Common Files”目录下名称为“iexplore.ini”,内容被加密,解密后内容存储与相应进程配对的下载文件。
解密后截图:
Trojan/Generic.apyqx 执行后会在后台启动“C:\Program Files\Common Files\lsass.exe”一直监视系统进程的创建,更新进程列表,以便对相应的进程进行对应的下载。这么做的目的主要是为了防止大量的截取信息软件的运行导致系统变慢,从而做成针对性的截取,防止用户察觉。
网络行为:
http://102.***.***.101:8866/xz.txt 配置文件
http://102.***.***.101:88/count.asp?mac=xxxxx&id=00&explorer=xxxx 将本机信息传递至服务端
病毒技术要点:
Trojan/Generic.apyqx 病毒不是传统病毒那样完成自身任务后会自删除,会添加开机启动项等,这些都没有做,只是初次运行后把自己伪装成系统文件(lsass.exe),以lsass.exe进程运行,用户发现后会搜索此进程功能,系统进程都会有相应的描述,以此来伪装欺骗用户放过。新意的地方是在下载病毒中,并不像以往病毒那样全部下载病毒到本地运行,而是有针对性的选择进行下载,控制了用户机器状态,防止因为过卡导致重启或者重装系统。
Trojan/Generic.apyqx 并没有对开机启动做操作,所以在系统内没有它关注的进程的情况下,只需重启就可以不被干扰了。若是有被关注的进程且已下载病毒的情况下,就需要安全软件进行扫描了。
预防和清除:
用安全软件或者江民进程管理器,在进程列表中找到名为“lsass.exe”的进程,且执行路径是“C:\Program Files\Common Files\lsass.exe”,停止并且删除路径文件lsass.exe
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://wmgf.**222.org
http://wwwxxx.**666.org
http://nmll.**222.org
http://hj688.**222.org
http://snxwsj.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供