Trojan.Getshell
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Getshell是一个木马,它从远程地址下载恶意文件到受感染的计算机。
一些被挂了该木马的网站,当用户打开该类网站时,网站会向用户要求用户权限运行一个恶意的.jar文件。该.jar文件确定了该计算机的操作系统,并根据计算机的操作系统是Windows、Linux或者是Mac OS,提供了一个二进制文件。然后,该木马根据操作系统,使用不同的端口,连接下面的远程IP地址,下载并执行恶意文件(Mac(8080端口)、Linux(8081端口)、Windows(8082端口)):
186.87.69.249
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Shylock
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Shylock是一个木马,它试图拦截网络上的数据流,并试图在其中加入恶意代码。
木马执行时,它会复制自身到一个随机的文件夹,并命名为一个随机的文件名。
该木马会搜集系统信息,并保存以下注册表项,使Windows启动时,该木马一起启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[GATHERED SYSTEM INFORMATION IN UUID FORMAT]" = "[该木马的路径]"
接下来,它会删除以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Win
然后该木马,在以下远程地址上,上传受感染主机的系统信息,并下载一些配置数据:
extensadv.cc
topbeat.cc
brainsphere.cc
commonworldme.cc
gigacat.cc
nw-serv.cc
该木马使用Rootkit技术,达到在计算机上隐藏自身的目的。
该木马还会拦截网络中的数据流,并根据下载的配置文件,往数据流中加入恶意代码。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Dididix
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Tronjan.Dididix是一个木马,它在受感染的电脑上,修改电脑的主引导记录(MBR)。
在木马执行时,它会复制%System%\drivers\beep.sys为Windir%\Help\intel.chm。
然后,该木马会在受感染电脑的磁盘驱动器上,最后一个分区的末端区域,写入一个驱动文件,和一个加密的.exe文件。
接着,保存现有的主引导记录(MBR),然后用Boot.Dididix覆盖它。
修改后的MBR在Windows启动时,钩挂了BIOS的中断,会去加载之前写入的驱动,然后再读取并执行保存的原来的MBR。
这驱动会解密那个加密的.exe文件,并生成如下的文件:
%System%\winsys.exe (Backdoor.Trojan)
该木马会删除如下文件:
%System%\drivers\beep.sys
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭可移动驱动器的自动播放功能。
Trojan.Obvod
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Obvod是一个木马,它在受感染的计算机上,下载一些类似欺骗点击的潜在恶意文件和恶意控件。
计算机可能通过磁盘从网站上下载数据包而感染该木马。
木马执行时,它会复制自身到以下位置:
%UserProfile%\Application Data\[RANDOM CHARACTERS].exe
该木马会创建以下任务,使得每次Windows启动时,木马也开始执行:
%Windir%\Tasks\[1-48].job
接下来,该木马可能会删除以下文件:
%UserProfile%\Cookies\*ad*.txt
%UserProfile%\Application Data\Macromedia\Flash Player\*
接着,该木马会修改以下注册表子项,用以降低系统的安全设置:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
该木马会在暗中点击一些点击欺诈类的广告,这些广告服务器伪装成合法网站;它会执行下列动作:
1.找到有*ad*.txt 格式的Cookies文件夹,并删除cookie文件
2.清除网络浏览器的缓存
3.清除Flash Player缓存
4.自动点击的任何Internet Explorer弹出窗口的“确定”按钮
5.自动点击任何Adobe Flash Player 9的弹出窗口“是”按钮
6.可以下载和解密文件
7.可能下载并执行文件
该木马可以连接以下服务器:
[http://]109.230.217/0xabad1[REMOVED]
[http://]*.hfuidhfd.jp
[http://]*.internationalforte.com
它也可以连接以下的DNS服务器:
109.230.217.44
156.157.70.1
它也可以连接以下的广告服务器:
http://ad.103092804.com
http://ad.adserverplus.com
http://ad.bharatstudent.com
http://ad.globe7.com
http://ad.harrenmedianetwork.com
http://ad.media-servers.net
http://ad.reduxmedia.com
http://ad.scanmedios.com
http://ad.xertive.com
http://ad.z5x.net
http://ads.audienceamplify.com
http://ads.sonobi.com
http://ads.yieldads.com
http://adserving.cpxadroit.com
http://ib.adnxs.com
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。安装最新的Windows安全补丁。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
www.***wggdongwgdongwgongwgngwggwgwgg.com/adfile/banner.htm
挂马网站提示:
http://ttrdey54.**222.org
http://wwsgswd12e.**222.org
http://jhisihs.**666.org
http://deyy22yq.**222.org
http://www51451cc.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供