Trojan.Madi
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Madi是一个木马,它在受感染的计算机上打开一个后门,从远程地址下载恶意文件,并搜集受感染计算机上的信息。
当木马被执行时,它拷贝自身为以下文件:
%UserProfile%\PrintHood\UpdateOffice.exe (Trojan.Dropper)
%UserProfile%\UpBackup\UpdateOffice.exe (Trojan.Dropper)
然后,它创建以下硬编码的文件:
%UserProfile%\My Documents\[ORIGINAL FILE NAME].exe.JPG
%UserProfile%\PrintHood\BIE.dll
%UserProfile%\PrintHood\FIE.dll
%UserProfile%\PrintHood\Roze.dll
%UserProfile%\PrintHood\SHK.dll
%UserProfile%\PrintHood\SIK.dll
%UserProfile%\PrintHood\mahdi.txt
%UserProfile%\PrintHood\pangtip.bat
%UserProfile%\PrintHood\xdat.dll
%UserProfile%\Templates\nam.dll
然后,它创建下列文件:
%UserProfile%\PrintHood\[TEN RANDOM CHARACTERS].dll
%UserProfile%\PrintHood\[TEN RANDOM CHARACTERS].PRI
%UserProfile%\PrintHood\~[TWENTY RANDOM CHARACTERS].TMP
接着,木马会修改以下注册表项,使Windows运行时,木马也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%UserProfile%\UpBackup"
然后,它尝试连接到以下远程控制命令服务器:
http://www.majakil.in/ASLK/khaki/Abi/UUUU.htm
174.142.57.28
174.142.57.29
www.hatman.in
然后,该木马尝试以下操作:
记录按键操作
捕捉截图
下载自身的更新
文件上传到远程位置
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Win32.Stikpid
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Win32.Stikpid是一个蠕虫,它通过可移动驱动器传播,它下载潜在的恶意文件,窃取系统信息,并在受感染计算机上打开一个后门。
受感染的计算机上的该蠕虫,可能把自己做为邮件附件,通过可移动驱动器,驱动下载传播,或者下载其他恶意程序
当蠕虫执行时,它将自身复制到以下位置:
%UserProfile%\Application Data\Microsoft\[SEVEN CHARACTERS].exe
%UserProfile%\Local Settings\Temp\[SEVEN CHARACTERS]_a.dat
%UserProfile%\Local Settings\Temp\[SEVEN CHARACTERS]_l.dat
接着,蠕虫会创建以下注册表项,使得系统启动时,蠕虫也开始执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[SEVEN CHARACTERS]" = "[PATH TO WORM]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[SEVEN CHARACTERS]" = "[PATH TO WORM]"
蠕虫还可能通过可移动驱动器传播自身,复制为以下文件:
%DriveLetter%\[ALL EXISTING FOLDERS]\[SEVEN CHARACTERS]_a.exe
%DriveLetter%\[ALL EXISTING FOLDERS]\[SEVEN CHARACTERS]_l.exe
为了在另外一台计算机开始使用受感染的可移动驱动器时,蠕虫执行,该蠕虫也可以创建以下文件:
%DriveLetter%\autorun.inf
它还创建一个隐藏的,与文件夹名相同的快捷链接。
它也可能收集潜在的机密信息,如成功安装,操作系统版本,CPU类型,和一定的访问权限。
接下来,蠕虫也可能下载并执行潜在的恶意文件,自我更新,自我卸载。
它可能利用POST请求,链接以下远程地址:
[http://]XxMRXlr0.upasinfection.ru/[CALCULATED VALUES]/gate.php?act=[ACTION]&ver=[THREAT VERSION NUMBER]
[http://]0o1eLImKe.upasinfection.ru/[CALCULATED VALUES]/gate.php?act=[ACTION]&ver=[THREAT VERSION NUMBER]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。拒绝接收未知内容的邮件,不打开未知内容的邮件附件。
Downloader.Parshell
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Downloader.Parshell是一个木马,它可能在受感染的电脑上,下载更多的恶意代码。
该木马可以由其他恶意代码,下载到受感染的计算机上,例如:
Trojan.FakeAV
Trojan.Zbot
Trojan.Maljava
该木马可能被下载到受感染的计算机后,做为以下名称的文件:
%Temp%\tempfiles.exe
%Temp%\[RANDOM CHARACTERS].exe
当木马执行时,它可以链接到以下的远程地址:
[http://]95.168.187.211/12267[REMOVED]
[http://]onecanhelp.org/91216[REMOVED]
[http://]pikono.com/18228[REMOVED]
[http://]ycallier.com/15246[REMOVED]
该木马可以从上面的远程地址,下载更多的恶意代码。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭可移动驱动器的自动播放功能。
Backdoor.Darkmoon
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Darkmoon是一个木马,它在受感染的计算机上打开一个后门,并记录受感染计算机上的按键记录。
当木马执行时,它会创建以下文件:
%System%\Yxgunlzu.d1l
%System%\drivers\Yxgunlzu.sys
%Windir%\@@@\___.exe
%Windir%\@@@\mydll.exe
%Windir%\@@@\win32.exe
%Windir%\win32log.dat
%Temp%\~MS[RANDOM CHARACTERS].doc
%Temp%\~$~MS[RANDOM CHARACTERS].doc
%Windir%\@@@\plugins
接着,木马创建以下注册表项,使得系统启动时,木马开始执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft" = "%Windir%\@@@\win32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters\"ServiceDll" = "%System%\Yxgunlzu.d1l"
它还创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Yxgunlzu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YXGUNLZU
该木马将%System%\Yxgunlzu.d1l注入到iexplore.exe 进程中。
然后该木马执行%System%\drivers\Yxgunlzu.sys做为一个rootkit,该文件隐藏受感染计算机上包含Yxgunlzu的任意字符串。
木马捕获窗口标题和按键记录,并将他们保存到以下的文件:
%Windir%\@@@\[DATE].txt
木马还在端口6868和7777上打开一个后门,等待远程地址的攻击指令。
该后门可以允许远程攻击者执行以下任何的操作:
窃取系统信息
窃取网络信息
下载,上传及执行文件
打开和关闭光盘驱动器
发送电子邮件
执行cmd.exe或command.com
该木马还试图打开%Temp%\~MS[RANDOM CHARACTERS].doc
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。安装最新的Windows安全补丁。
下周计算机病毒预报
(2012年7月30日至2012年8月05日)
Trojan.Madi
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Madi是一个木马,它在受感染的计算机上打开一个后门,从远程地址下载恶意文件,并搜集受感染计算机上的信息。
当木马被执行时,它拷贝自身为以下文件:
%UserProfile%\PrintHood\UpdateOffice.exe (Trojan.Dropper)
%UserProfile%\UpBackup\UpdateOffice.exe (Trojan.Dropper)
然后,它创建以下硬编码的文件:
%UserProfile%\My Documents\[ORIGINAL FILE NAME].exe.JPG
%UserProfile%\PrintHood\BIE.dll
%UserProfile%\PrintHood\FIE.dll
%UserProfile%\PrintHood\Roze.dll
%UserProfile%\PrintHood\SHK.dll
%UserProfile%\PrintHood\SIK.dll
%UserProfile%\PrintHood\mahdi.txt
%UserProfile%\PrintHood\pangtip.bat
%UserProfile%\PrintHood\xdat.dll
%UserProfile%\Templates\nam.dll
然后,它创建下列文件:
%UserProfile%\PrintHood\[TEN RANDOM CHARACTERS].dll
%UserProfile%\PrintHood\[TEN RANDOM CHARACTERS].PRI
%UserProfile%\PrintHood\~[TWENTY RANDOM CHARACTERS].TMP
接着,木马会修改以下注册表项,使Windows运行时,木马也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%UserProfile%\UpBackup"
然后,它尝试连接到以下远程控制命令服务器:
http://www.majakil.in/ASLK/khaki/Abi/UUUU.htm
174.142.57.28
174.142.57.29
www.hatman.in
然后,该木马尝试以下操作:
记录按键操作
捕捉截图
下载自身的更新
文件上传到远程位置
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Win32.Stikpid
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Win32.Stikpid是一个蠕虫,它通过可移动驱动器传播,它下载潜在的恶意文件,窃取系统信息,并在受感染计算机上打开一个后门。
受感染的计算机上的该蠕虫,可能把自己做为邮件附件,通过可移动驱动器,驱动下载传播,或者下载其他恶意程序
当蠕虫执行时,它将自身复制到以下位置:
%UserProfile%\Application Data\Microsoft\[SEVEN CHARACTERS].exe
%UserProfile%\Local Settings\Temp\[SEVEN CHARACTERS]_a.dat
%UserProfile%\Local Settings\Temp\[SEVEN CHARACTERS]_l.dat
接着,蠕虫会创建以下注册表项,使得系统启动时,蠕虫也开始执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[SEVEN CHARACTERS]" = "[PATH TO WORM]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[SEVEN CHARACTERS]" = "[PATH TO WORM]"
蠕虫还可能通过可移动驱动器传播自身,复制为以下文件:
%DriveLetter%\[ALL EXISTING FOLDERS]\[SEVEN CHARACTERS]_a.exe
%DriveLetter%\[ALL EXISTING FOLDERS]\[SEVEN CHARACTERS]_l.exe
为了在另外一台计算机开始使用受感染的可移动驱动器时,蠕虫执行,该蠕虫也可以创建以下文件:
%DriveLetter%\autorun.inf
它还创建一个隐藏的,与文件夹名相同的快捷链接。
它也可能收集潜在的机密信息,如成功安装,操作系统版本,CPU类型,和一定的访问权限。
接下来,蠕虫也可能下载并执行潜在的恶意文件,自我更新,自我卸载。
它可能利用POST请求,链接以下远程地址:
[http://]XxMRXlr0.upasinfection.ru/[CALCULATED VALUES]/gate.php?act=[ACTION]&ver=[THREAT VERSION NUMBER]
[http://]0o1eLImKe.upasinfection.ru/[CALCULATED VALUES]/gate.php?act=[ACTION]&ver=[THREAT VERSION NUMBER]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。拒绝接收未知内容的邮件,不打开未知内容的邮件附件。
Downloader.Parshell
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Downloader.Parshell是一个木马,它可能在受感染的电脑上,下载更多的恶意代码。
该木马可以由其他恶意代码,下载到受感染的计算机上,例如:
Trojan.FakeAV
Trojan.Zbot
Trojan.Maljava
该木马可能被下载到受感染的计算机后,做为以下名称的文件:
%Temp%\tempfiles.exe
%Temp%\[RANDOM CHARACTERS].exe
当木马执行时,它可以链接到以下的远程地址:
[http://]95.168.187.211/12267[REMOVED]
[http://]onecanhelp.org/91216[REMOVED]
[http://]pikono.com/18228[REMOVED]
[http://]ycallier.com/15246[REMOVED]
该木马可以从上面的远程地址,下载更多的恶意代码。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭可移动驱动器的自动播放功能。
Backdoor.Darkmoon
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Darkmoon是一个木马,它在受感染的计算机上打开一个后门,并记录受感染计算机上的按键记录。
当木马执行时,它会创建以下文件:
%System%\Yxgunlzu.d1l
%System%\drivers\Yxgunlzu.sys
%Windir%\@@@\___.exe
%Windir%\@@@\mydll.exe
%Windir%\@@@\win32.exe
%Windir%\win32log.dat
%Temp%\~MS[RANDOM CHARACTERS].doc
%Temp%\~$~MS[RANDOM CHARACTERS].doc
%Windir%\@@@\plugins
接着,木马创建以下注册表项,使得系统启动时,木马开始执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft" = "%Windir%\@@@\win32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters\"ServiceDll" = "%System%\Yxgunlzu.d1l"
它还创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Yxgunlzu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YXGUNLZU
该木马将%System%\Yxgunlzu.d1l注入到iexplore.exe 进程中。
然后该木马执行%System%\drivers\Yxgunlzu.sys做为一个rootkit,该文件隐藏受感染计算机上包含Yxgunlzu的任意字符串。
木马捕获窗口标题和按键记录,并将他们保存到以下的文件:
%Windir%\@@@\[DATE].txt
木马还在端口6868和7777上打开一个后门,等待远程地址的攻击指令。
该后门可以允许远程攻击者执行以下任何的操作:
窃取系统信息
窃取网络信息
下载,上传及执行文件
打开和关闭光盘驱动器
发送电子邮件
执行cmd.exe或command.com
该木马还试图打开%Temp%\~MS[RANDOM CHARACTERS].doc
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。安装最新的Windows安全补丁。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
www.***wggdongwgdongwgongwgngwggwgwgg.com/adfile/banner.htm
挂马网站提示:
http://ttrdey54.**222.org
http://ttrdey54.**222.org
http://jhisihs.**666.org
http://gjtfd21s.**222.org
http://eswssd55f.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供
下周计算机病毒预报
(2012年7月30日至2012年8月05日)
Trojan.Madi
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Madi是一个木马,它在受感染的计算机上打开一个后门,从远程地址下载恶意文件,并搜集受感染计算机上的信息。
当木马被执行时,它拷贝自身为以下文件:
%UserProfile%\PrintHood\UpdateOffice.exe (Trojan.Dropper)
%UserProfile%\UpBackup\UpdateOffice.exe (Trojan.Dropper)
然后,它创建以下硬编码的文件:
%UserProfile%\My Documents\[ORIGINAL FILE NAME].exe.JPG
%UserProfile%\PrintHood\BIE.dll
%UserProfile%\PrintHood\FIE.dll
%UserProfile%\PrintHood\Roze.dll
%UserProfile%\PrintHood\SHK.dll
%UserProfile%\PrintHood\SIK.dll
%UserProfile%\PrintHood\mahdi.txt
%UserProfile%\PrintHood\pangtip.bat
%UserProfile%\PrintHood\xdat.dll
%UserProfile%\Templates\nam.dll
然后,它创建下列文件:
%UserProfile%\PrintHood\[TEN RANDOM CHARACTERS].dll
%UserProfile%\PrintHood\[TEN RANDOM CHARACTERS].PRI
%UserProfile%\PrintHood\~[TWENTY RANDOM CHARACTERS].TMP
接着,木马会修改以下注册表项,使Windows运行时,木马也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%UserProfile%\UpBackup"
然后,它尝试连接到以下远程控制命令服务器:
http://www.majakil.in/ASLK/khaki/Abi/UUUU.htm
174.142.57.28
174.142.57.29
www.hatman.in
然后,该木马尝试以下操作:
记录按键操作
捕捉截图
下载自身的更新
文件上传到远程位置
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Win32.Stikpid
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Win32.Stikpid是一个蠕虫,它通过可移动驱动器传播,它下载潜在的恶意文件,窃取系统信息,并在受感染计算机上打开一个后门。
受感染的计算机上的该蠕虫,可能把自己做为邮件附件,通过可移动驱动器,驱动下载传播,或者下载其他恶意程序
当蠕虫执行时,它将自身复制到以下位置:
%UserProfile%\Application Data\Microsoft\[SEVEN CHARACTERS].exe
%UserProfile%\Local Settings\Temp\[SEVEN CHARACTERS]_a.dat
%UserProfile%\Local Settings\Temp\[SEVEN CHARACTERS]_l.dat
接着,蠕虫会创建以下注册表项,使得系统启动时,蠕虫也开始执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[SEVEN CHARACTERS]" = "[PATH TO WORM]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[SEVEN CHARACTERS]" = "[PATH TO WORM]"
蠕虫还可能通过可移动驱动器传播自身,复制为以下文件:
%DriveLetter%\[ALL EXISTING FOLDERS]\[SEVEN CHARACTERS]_a.exe
%DriveLetter%\[ALL EXISTING FOLDERS]\[SEVEN CHARACTERS]_l.exe
为了在另外一台计算机开始使用受感染的可移动驱动器时,蠕虫执行,该蠕虫也可以创建以下文件:
%DriveLetter%\autorun.inf
它还创建一个隐藏的,与文件夹名相同的快捷链接。
它也可能收集潜在的机密信息,如成功安装,操作系统版本,CPU类型,和一定的访问权限。
接下来,蠕虫也可能下载并执行潜在的恶意文件,自我更新,自我卸载。
它可能利用POST请求,链接以下远程地址:
[http://]XxMRXlr0.upasinfection.ru/[CALCULATED VALUES]/gate.php?act=[ACTION]&ver=[THREAT VERSION NUMBER]
[http://]0o1eLImKe.upasinfection.ru/[CALCULATED VALUES]/gate.php?act=[ACTION]&ver=[THREAT VERSION NUMBER]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。拒绝接收未知内容的邮件,不打开未知内容的邮件附件。
Downloader.Parshell
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Downloader.Parshell是一个木马,它可能在受感染的电脑上,下载更多的恶意代码。
该木马可以由其他恶意代码,下载到受感染的计算机上,例如:
Trojan.FakeAV
Trojan.Zbot
Trojan.Maljava
该木马可能被下载到受感染的计算机后,做为以下名称的文件:
%Temp%\tempfiles.exe
%Temp%\[RANDOM CHARACTERS].exe
当木马执行时,它可以链接到以下的远程地址:
[http://]95.168.187.211/12267[REMOVED]
[http://]onecanhelp.org/91216[REMOVED]
[http://]pikono.com/18228[REMOVED]
[http://]ycallier.com/15246[REMOVED]
该木马可以从上面的远程地址,下载更多的恶意代码。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭可移动驱动器的自动播放功能。
Backdoor.Darkmoon
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Darkmoon是一个木马,它在受感染的计算机上打开一个后门,并记录受感染计算机上的按键记录。
当木马执行时,它会创建以下文件:
%System%\Yxgunlzu.d1l
%System%\drivers\Yxgunlzu.sys
%Windir%\@@@\___.exe
%Windir%\@@@\mydll.exe
%Windir%\@@@\win32.exe
%Windir%\win32log.dat
%Temp%\~MS[RANDOM CHARACTERS].doc
%Temp%\~$~MS[RANDOM CHARACTERS].doc
%Windir%\@@@\plugins
接着,木马创建以下注册表项,使得系统启动时,木马开始执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft" = "%Windir%\@@@\win32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters\"ServiceDll" = "%System%\Yxgunlzu.d1l"
它还创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Yxgunlzu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YXGUNLZU
该木马将%System%\Yxgunlzu.d1l注入到iexplore.exe 进程中。
然后该木马执行%System%\drivers\Yxgunlzu.sys做为一个rootkit,该文件隐藏受感染计算机上包含Yxgunlzu的任意字符串。
木马捕获窗口标题和按键记录,并将他们保存到以下的文件:
%Windir%\@@@\[DATE].txt
木马还在端口6868和7777上打开一个后门,等待远程地址的攻击指令。
该后门可以允许远程攻击者执行以下任何的操作:
窃取系统信息
窃取网络信息
下载,上传及执行文件
打开和关闭光盘驱动器
发送电子邮件
执行cmd.exe或command.com
该木马还试图打开%Temp%\~MS[RANDOM CHARACTERS].doc
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。安装最新的Windows安全补丁。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
www.***wggdongwgdongwgongwgngwggwgwgg.com/adfile/banner.htm
挂马网站提示:
http://ttrdey54.**222.org
http://ttrdey54.**222.org
http://jhisihs.**666.org
http://gjtfd21s.**222.org
http://eswssd55f.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
www.***wggdongwgdongwgongwgngwggwgwgg.com/adfile/banner.htm
挂马网站提示:
http://ttrdey54.**222.org
http://ttrdey54.**222.org
http://jhisihs.**666.org
http://gjtfd21s.**222.org
http://eswssd55f.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供