Backdoor.Joggver
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Joggver是一个木马,它在受感染计算机上打开一个后门。
当木马被执行时,它在受感染计算机上打开一个后门,允许远程攻击者执行以下操作:
执行简单的Shell命令,比如dir, cd, md, del, copy, ren, type, ps, kill, touch, help, exit
上传文件到远程服务器
从远程服务器下载文件,并执行
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Win32.Gauss
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Win32.Gauss是一个蠕虫病毒,它在受感染的计算机上打开一个后门,并收集机密信息。
当蠕虫执行时,它会创建以下文件:
%System%\wbem\wmihlp32.dll
%System%\wbem\wmiqry32.dll
%System%\dskapi.ocx
%UserProfile%\Local Settings\Temp\~shw.tmp
%UserProfile%\Local Settings\Temp\~gdl.tmp
%UserProfile%\Local Settings\Temp\~mdk.tmp
%Temp%\s61cs3.dat
%Temp%\~ZM6AD3.tmp
%System%\fonts\pldnrfn.ttf
%Temp%\ws1bin.dat
该蠕虫病毒是模块化的性质,它还创建下列文件到受感染的计算机,用来执行特定的功能:
%System%\wbem\wmiqry32.ocx and %System%\wbem\wmihlp32.ocx (Load other components and perform certain connection functionality)
%System%\devwiz.ocx (Collect hardware information about the CMOS and the BIOS)
%System%\dskapi.ocx, which contains 32-bit and 64-bit components (Spread through removable drives and collect removable drive information)
%System%\lanhlp32.ocx (Collect network-related information)
%System%\mcdmn.ocx (Collect information about the user domain)
%System%\smdk.ocx (Collect information on computer drives)
%System%\windig.ocx (Install a custom Palida Narrow font)
%System%\winshell.ocx (Collect browser and cookie information from Firefox and Internet Explorer)
接着,蠕虫还会创建以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\"(Default)" = "wbemsvc.dll"
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\"(Default)" = "wmihlp32.dll"
该蠕虫病毒从受感染计算机上的IE浏览器收集以下信息:
浏览历史
密码
加载页面中的数字字段
收集Cookies信息,并保存到以下文件:
%Temp%\ws1bin.dat
该蠕虫连接下面的远程控制与命令服务器:
bestcomputeradvisor.com
datajunction.org
dotnetadvisor.info
gowin7.com
guest-access.net
secuurity.net
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
W32.Fixflo
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
W32.Fixflo是一个病毒,它在受感染的计算机上下载并执行文件。
当病毒执行时,它会创建以下文件:
%CommonProgramFiles%\System\symsrv.dll
它会在受感染的计算机、网络驱动器、可移动存储器上感染可执行文件和dll文件。
该病毒可能会下载并运行其他可执行文件。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。下载该病毒的专杀工具。
TrojanDownloader.Geral.dqb
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
TrojanDownloader.Geral.dqb 病毒程序是网页木马提供传播的途径,在政府网站中进行传播挂马(样本截获的时候网页木马所在站点),如果浏览此网页的机器没有进行相关系统补丁的更新,则有可能会中此网页木马,网页木马的功能指向一个下载地址进行下载。而分析的TrojanDownloader.Geral.dqb病毒程序就是网页木马下载的文件。
TrojanDownloader.Geral.dqb 病毒程序在运行后首先检测本机的杀毒软件,对所有进程进行遍历(此处遍历进程使用微软未导出的函数进行操作),以此对比进程名称中是否有ekrn.exe(ESET Smart Security或ESET NOD32 Antivirus反病毒软件相关程序), 如果找到杀毒进程则结束杀毒进程。
TrojanDownloader.Geral.dqb自身释放动态连接库文件到系统目录下,名称为“18678609.DEP”,然后立即加载至内存中运行。此动态链接库文件主要功能是下载其他病毒程序到计算机中进行信息的窃取,广告弹出等。
为保证每次开机会自动加载,在系统启动EXPLORER.exe(桌面进程)时,会自动调用
“18678609.DEP”动态链接库。对注册表进行了表项添加的操作,从而完成启动自动加载。
通过网页木马进行传播,感染的数量未知,破坏性大,病毒本身只是下载者,对其他病毒进行下载,安装驱动程序时出现蓝屏,造成机器重启后无法进入系统。
读取下载配置文件
http://cz.shidaihuabian.com:53/s.gif
http://c5a.shuisumuli.com:53/b.jpg
下载病毒
http://203.171.236.158:66/v/i42.rar
http://203.171.236.158:66/v/zzz.rar
http://203.171.236.158:66/v/s.rar
http://203.171.236.158:66/v/o2.rar
http://203.171.236.158:66/v/t.rar
http://203.171.236.158:66/v/p43.rar
TrojanDownloader.Geral.dqb 样本自身并不具备破坏系统的功能,但其是下载其他病毒的载体,在初次运行中对系统进程名称的获取未使用系统API接口函数,而是使用Native API调用 ZwQuerySystemInformation 函数,得到系统当前活动进程的信息,此方法可躲避一些杀毒软件的主动防御检测API调用的序列。将释放的“%SystemRoot%system3218678609.DEP”添加进注册表中,对系统原来的“{E6FB5E20-DE35-11CF-9C87-00AA005127ED}”项的默认加载的动态库进行修改,从而完成对开机自动重启下载病毒的功能。而注册表中“WebCheck”子选项,是对网站进行监视的COM接口 ,修改默认接口加载的DLL,防止杀毒检测到。
ShellServiceObjectDelayLoad 项是系统未说明的,它是由EXPLORER.exe启动时默认会加载里面的组件。
预防和清除:
清理注册表项
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 里存放的相关病毒恶意导向DLL
删除%SystemRoot%system3218678609.DEP
删除"C:Program FilesCommon Files"下的rkdltecq目录里全部文件
以上步骤在安全模式下进行删除和修正,防止每次EXPLORER进程启动的时候都会加载"18678609.DEP"导致无法清除干净。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://wmgf.**222.org
http://wwwxxx.**666.org
http://segame.**666.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供