Trojan.Shylock
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Shylock是一个木马,它拦截网络流量,并试图在网络数据包中添加恶意代码。
当木马被执行时,它可能复制自身到随机的文件夹,并使用随机的文件名称。
接着,木马会在受感染的计算机中搜集系统信息,并保存在以下注册表键值中,使得Windows系统启动时,木马也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[GATHERED SYSTEM INFORMATION IN UUID FORMAT]" = "[PATH TO THE TROJAN]"
然后,它把受感染计算机的信息上传到以下服务器,并从以下的服务器上下载配置数据:
1. extensadv.cc
2. topbeat.cc
3. brainsphere.cc
4. commonworldme.cc
5. gigacat.cc
6. nw-serv.cc
该木马利用rootkit技术,隐藏在受感染的计算机中。
它还拦截计算机上的网络流量,并根据下载的配置数据试图在网络流量中添加恶意代码。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Tracur
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Tracur是一个木马,它把受感染计算机上的网络搜索结果重定向到一个恶意的URL,并可能生成其他的恶意代码。
当木马执行时,它复制自身为以下文件:
%System%\[NAME OF AN EXISTING DLL]32.exe
然后删除以下文件:
%System%\[NAME OF AN EXISTING DLL]32.exe
%System%\[NAME OF AN EXISTING DLL]32.dll
%UserProfile%\Application Data\SysWin\lsass.exe
该木马程序接着创建以下注册表项,将自身注册为类似COM的对象:
HKEY_CLASSES_ROOT\CLSID\{1811DBA0-25C3-4AF2-8504-31D35384D8Ec}\InprocServer32\"(Default)" = "%System%\[NAME OF AN EXISTING DLL]32.dll"
HKEY_CLASSES_ROOT\CLSID\{1811DBA0-25C3-4AF2-8504-31D35384D8Ec}\InprocServer32\"ThreadingModel" = "Both"
HKEY_CLASSES_ROOT\[RANDOM LETTERS]\CLSID\"(Default)" = "{c4c7969f-a03b-4f27-822b-0c2e90a111f6}"
该木马程序,然后打开一个受感染的计算机试图连接到一个服务器上的后门,然后等待命令。受感染的计算机上的远程攻击者可以执行以下操作:
下载并执行远程文件
控制Web浏览器重定向参数
窃取信息
然后,它创建以下注册表项,注册为系统服务本身:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler32\"DisplayName" = "Print Spooler "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler32\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler32\"ImagePath" = "%System%\[NAME OF AN EXISTING DLL]32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler32\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler32\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler32\"Type" = "16"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler32\Security\"Security" = "[BINARY DATA]"
该服务具有以下特点:
Startup Type: Automatic
Image Path: %System%\[NAME OF AN EXISTING DLL]32.exe
Display Name: Print Spooler
木马创建以下注册表项,登记本身为一个通常的驱动服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOLER32\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOLER32\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOLER32\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOLER32\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOLER32\0000\"DeviceDesc" = "Print Spooler "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOLER32\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOLER32\0000\"Service" = "Spooler32"
木马还会创建以下注册表项,用来饶过系统防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\"%System%\[NAME OF AN EXISTING DLL]32.exe" = "%System%\[NAME OF AN EXISTING DLL]32.exe:*:Enabled:Windows Update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\[NAME OF AN EXISTING DLL]32.exe" = "%System%\[NAME OF AN EXISTING DLL]32.exe:*:Enabled:Windows Update Service"
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Win32/Gauss
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Win32/Gauss是一个蠕虫病毒,它在受感染的计算机上打开一个后门,收集被感染计算机上的机密信息。
当蠕虫执行时,它会创建以下文件:
%System%\wbem\wmihlp32.dll
%System%\wbem\wmiqry32.dll
%System%\dskapi.ocx
%System%\winshell.ocx
%System%\devwiz.ocx
%System%\lanhlp32.ocx
%System%\mcdmn.ocx
%System%\smdk.ocx
%System%\windig.ocx
%UserProfile%\Local Settings\Temp\~shw.tmp
%UserProfile%\Local Settings\Temp\~gdl.tmp
%UserProfile%\Local Settings\Temp\~mdk.tmp
%Temp%\s61cs3.dat
%Temp%\~ZM6AD3.tmp
%System%\fonts\pldnrfn.ttf
%Temp%\ws1bin.dat
该蠕虫创建以下注册表子项:
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\"(Default)" = "wbemsvc.dll"
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\"(Default)" = "wmihlp32.dll"
该蠕虫从IE浏览器中搜集窃取以下信息:
浏览历史
密码
加载网页数据字段中的文本
该蠕虫安装它自身的Firefox插件,执行以下操作:
提取浏览器的历史记录
提取密码信息
提取Cookies
蠕虫(%SYSTEM%\ winshell.ocx)从下列清单中进行Cookie的搜索:
maktoob
ebay
hotmail
gmail
facebook
amazon
creditlibanais
yahoo
fransabank
citibank
byblosbank
blombank
eblf
bankofbeirut
americanexpress
aisa
eurocard
mastercard
paypal
注:收集的cookies被加密并保存到:
%TEMP%\ ws1bin.dat
蠕虫连接下面的命令与控制服务器:
gowin7.com
secuurity.net
datajunction.org
bestcomputeradvisor.com
dotnetadvisor.info
guest-access.net
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://ttrdey54.**222.org
http://sdfsdss12.**222.org
http://wwwxxx.**666.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供