Win32.Crisis
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Win32.Crisis是一个蠕虫,它通过可移动驱动器、VMware镜像和Windows移动设备进行传播,并在受感染计算机上打开一个后门。
当蠕虫被执行时,它会创建以下文件:
%UserProfile%\Local Settings\jlc3V7we\6EaqyFfo.zIK
%UserProfile%\Local Settings\jlc3V7we\IZsROY7X.-MP
%UserProfile%\Local Settings\jlc3V7we\WeP1xpBU.wA-
%UserProfile%\Local Settings\jlc3V7we\eiYNz1gd.Cfp
%UserProfile%\Local Settings\jlc3V7we\hypn4cqI.HSC
%UserProfile%\Local Settings\jlc3V7we\lUnsA3Ci.Bz7
%UserProfile%\Local Settings\jlc3V7we\t2HBeaM5.OUk
接着,蠕虫会创建以下注册表子项,使得Windows系统启动时,木马也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"*J7PugHy" = "%System%\rundll32.exe \"%UserProfile%\Local Settings\jlc3V7we\IZsROY7X.-MP\",F1dd208"
然后,蠕虫尝试在受感染计算机上打开一个后门,连接到以下远程地址:
[http://]176.58.100.37/stat[REMOVED]
远程攻击者可以执行以下操作:
记录按键
下载和上传文件
屏幕截图
从电脑的剪切板中窃取信息
使用受感染计算机上的摄像头和麦克风记录图象和声音
然后,蠕虫停止相关的防毒软件进程。
蠕虫在所有的可移动驱动器上复制自身,并将自身复制到任何可以找到的VMware镜像中传播。
它也可能在windows移动设备上生成2个文件,当其他计算机连接这台移动设备时,该2个文件自动执行,并感染计算机。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Finish
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Finish是一个木马,它在受感染的计算机上打开一个后门。
当木马执行时,它会创建以下文件:
%Temp%\tmp2.tmp
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\02.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\02C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\04.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\04C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\05.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\05C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\10.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\10C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\11.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\11C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\12.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\12C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\14.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\14C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\16.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\16C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\17.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\17C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\18.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\18C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\19.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\19C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\20.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\20C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\21.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\21C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\7F.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\7FC.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\80C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\ico_ty23.ico
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\mssounddx.sys
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\shellex32.dll
它也创建以下文件夹:
%Temp%\TMP[EIGHT RANDOM CHARACTERS]
该木马程序接着创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSOUNDDX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssounddx
该木马程序连接到以下的命令与控制服务器:
[http://]ff-demo.blogdns.org
[http://]tiger.gamma-international.de
然后,它把窃取的信息发送到上面的远程服务器。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Win32.Disttrack
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Win32.Disttrack是一个通过网络共享传播的蠕虫病毒,它还生成恶意文件,覆盖现有的文件。
当蠕虫执行时,它会复制自身到以下网络共享地址:
\\[COMPUTER NAME]\ADMIN$
\\[COMPUTER NAME]\C$\\WINDOWS
\\[COMPUTER NAME]\D$\\WINDOWS
\\[COMPUTER NAME]\E$\\WINDOWS
该蠕虫会创建以下文件:
%System%\trksrv.exe
%System%\netinit.exe
%System%\drivers\drdisk.sys
%System%\[NAME SELECTED FROM LIST].exe
该蠕虫会删除以下文件:
%System%\drivers\drdisk.sys
创建一个作业执行本身的任务:
开始在Windows启动时创建以下服务:
Service: TrkSvr
DisplayName: Distributed Link Tracking Server
ImagePath: %System%\trksvr.exe
删除现有的驱动程序,并写入一个合法的驱动程序中嵌入资源:
%SYSTEM%\驱动程序\ drdisk.sys
蠕虫会将以下信息发送给远程攻击者:
[DOMAIN] =域名
[MYDATA] =指定有多少文件被覆盖
[UID] =受感染的电脑的IP地址
[状态] =随机数
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Juasek
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Juasek是一个木马,它在受感染的计算机上打开一个后门。
当木马执行时,它会创建以下文件:
%System%/[RANDOM FILE NAME].dll
%System%/svsdll.log
该木马程序接着创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMNet
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMNET
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMNet\Security\"Security" = "[HEXADECIMAL CHARACTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\"WMNet" = "multi:"WMNet\00""
接着该木马创建一个如下的服务:
Display Name: Windows Management Networks
Image Path: %System%\svchost.exe -k WMNet
接着,木马会创建以下文件,用来存储后门的命令与执行的信息:
%System%\svsdll.log
该木马程序尝试连接远程的命令与控制服务器,并接受来自攻击者的命令,该木马允许远程攻击者在受感染计算机上执行如下操作:
删除文件
执行CMD命令
执行文件
获得当前的进程列表
获得指定文件夹的文件列表
加载一个dll文件并调用它的函数,将数据写入文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://wwwxxx.**666.org
http://wwwxxx.**666.org
http://liaomm.**666.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供