Backdoor.Hikit
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Hikit是一个木马,它在受感染计算机上打开一个后门。
当木马被执行时,它会创建以下文件:
%Temp%\w7fw.sys
%Temp%\w7fw_m.inf
%Temp%\w7fw.inf
%Temp%\w7fw.cat
接着,木马会根据不同的系统,32位或者64位的驱动,删除以下文件:
%System%\drivers\W7fw.sys
接着,木马使用一个不受信任的证书来加载驱动。
木马也会修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"
该后门允许远程攻击者,在受感染的计算机上执行以下操作:
打开连接一个SOCKS5代理
在受感染计算机上下载恶意文件
将文件上传到远程地址
打开一个SHELL命令
停止执行
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Java.Awetook
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Java.Aeetook利用JAVA运行环境JRE的一个0day漏洞,提升自己权限,在受感染计算机上下载并运行一个恶意的有效载荷。
在受感染的计算机上,它会下载以下文件:
%CurrentFolder%\applet.jar
预防和清除:
更新最新的系统和应用软件的漏洞补丁。
Trojan.Shylock.B
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Shylock.B是一个木马,它在受感染计算机上打开一个后门,并试图窃取机密信息,它也尝试进行传播。
当木马执行时,它会创建以下文件:
%Temp%\[ONE LETTER].tmp.exe
然后,它会打开一个后门,连接远程控制与命令服务器,以便下载额外的组件文件。
接下来,木马收集计算机上的机密信息,并发送到控制与命令服务器。
它还将自身注入到一个svchost.exe进程,以获得控制与命令服务器的指令,某些它可以执行的命令如下:
卸载自身
配置一个VNC会议
收集cookies
执行一个文件
上传文件
传播自身
它可能会在可移动驱动器和网络共享中,修改以下文件类型:
.ma
.md
.acc
.ad
.vtx
.vsx
.vdx
.vst
.vss
.vsd
.ppsx
.pps
.pptx
.ppt
.one
.docx
.doc
.xls
.lnk
.bat
.com
.exe
当发现以上文件类型时,它会以以下格式重命名原文件:
[原文件名].[扩展名]
该文件的属性设置为隐藏和系统,所以用户资源管理器中打开文件夹,找不到该文件。
接下来,木马会创建一个副本,在相同的目录下,并命名为thumbs.dbh。
它还创建以下文件作为原始文件的替代品,诱骗用户运行木马:
[原文件名].link
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan/Generic.antj
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan/Generic.antj 对系统DLL(动态链接库文件)进行感染劫持,并在首次开机时检测系统的启动环境,是否是安全模式下的系统,并检测服务是否已安装,并为自己添加至服务启动项,并将自身复制到“%SystemRoot%system32”目录下以随机名称的文件加载至服务启动项中。并且立即启动服务。
在“%USERPROFILE%Local SettingsTemp”目录下备份病毒文件自身,并创建傀儡进程Svchost.exe,并对其进行劫持。对本地网页后缀相关的文件进行感染。
启动的服务中,检查本地磁盘中所有的可执行文件(后缀为“exe”),并在可执行文件的目录下释放一个lpk.dll(劫持的文件),可执行文件运行以后会优先于其他路径来加载DLL。
Trojan/Generic.antj 对系统具有破坏性,感染的文件和程序在运行过程中会不断自我复制,自我检测,并且一个宿主文件里写了多种用途,自身可执行,并可添加至服务中继续运行,模块可以供其他程序调用,防止查杀,对抗杀毒部分使用傀儡创建"Svchosts.exe"进行寄生,混淆杀软检测,感染EXE的是 相同目录下的lpk.dll的劫持,对EXE文件没有进行修改,比较隐蔽的感染系统。
预防和清除:
所有进程中扫描Lpk.dll(感染劫持文件), 内存特征.卸载内存镜象.
1.查找 HKLMSYSTEMControlSet001ControlSession Manager
键值 PendingFileRenameOperations, 清空.
2.服务Distribukhq, 找到并删除,删除服务的执行体文件.
可在HKLMSYSTEMControlSet001ServicesDistribukhq 下ImagePath中看见路径.
3.删除local settingTemp 目录中Hrxx.tmp 与SOFTWARE.LOG.删除. 查找windowstemp目录下,查找hrxx.tmp 并删除.
4.遍利所有盘符目录中查找lpk.dll ,其文件属性为系统属性,只读隐藏属性..找到清除.
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://ttrdey54.**222.org
http://kaihao.**666.org
http://liaomm.**666.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供