Backdoor.Korplug
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
JS.Runfore是一个木马,它在受感染电脑上打开一个后门,有可能窃取计算机内的信息。
木马执行时,它可能会创建以下文件:
%UserProfile%\SxS\bug.log
%UserProfile%\SxS\rc.exe
%UserProfile%\SxS\rc.hlp
%UserProfile%\SxS\rcdll.dll
接下来,木马会创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FAST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SXS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SxS
该木马程序,然后打开计算机上的后门,尝试连接到远程地址:[http://]fortune-creative.com
[http://]gameby.flower-show.org
然后,它可以执行以下操作:
打开一个远程命令shell
键盘操作记录
窃取计算机及其网络的信息
采取截图
被盗的信息可能会被发送到远程服务器。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Zemra
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Zemra 是一个木马,它在受感染电脑上打开一个后门,然后从远程地址下载更多的恶意代码到计算机。
木马执行时,会创建以下文件:
%UserProfile%\Application Data\wscntfy.exe
%Program Files%\Common Files\lsmass.exe
接下来,它会删除以下文件:
%Windir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.212.730029
%Windir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.740.735006
%Windir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.740.734996
%Windir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.212.729999
%%UserProfile%\Application Data\Microsoft\CLR Security Config\v2.0.50727.42\security.config.cch.212.730149
%%UserProfile%\Application Data\Microsoft\CLR Security Config\v2.0.50727.42\security.config.cch.740.735197
该木马然后修改以下文件:
%System%\wbem\Logs\FrameWork.log
接下来,木马会创建以下注册表项,以便在Windows启动时,木马也开始执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"Windows-Network Component" = "%Program Files%\Common Files\lsmass.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows-Audio Driver" = "%UserProfile%\Application Data\wscntfy.exe"
然后,它创建以下注册表项,将自身添加到Windows防火墙授权的应用程序列表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\"%UserProfile%\Application Data\wscntfy.exe" = "%UserProfile%\Application Data\wscntfy.exe:*:Enabled:Windows-Audio Driver"
它还创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"EnableBalloonTips" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CLSID}\"IsInstalled" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CLSID}\"StubPath" = "%UserProfile%\Application Data\wscntfy.exe -r"
接下来,木马将系统信息发送到远程位置,包括:
计算机名称
语言
操作系统版本
然后,木马打开后门TCP端口7710,利用远程指挥和控制(C&C的)服务器的命令从以下地址下载恶意代码:
[http://]zemra-panel.ru/gate[REMOVED]
该木马程序,将下载到受感染的计算机中的文件保存到以下位置:
%UserProfile%\Application Data\Microsoft\CryptnetUrlCache\MetaData\[THREAT FILE NAME]
%UserProfile%\Application Data\Microsoft\CryptnetUrlCahce\Content\[THREAT FILE NAME]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
W32.Shadesrat.C
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
W32.Shadesrat.C是一个蠕虫,通过可移动驱动器传播,它在受感染的计算机上打开一个后门。
在蠕虫执行时,它会自身为以下文件:
%Temp%\D3D8THK.exe
然后,该蠕虫创建下列文件:
%UserProfile%\Templates\VSCover.exe (Trojan.ADH.2)
%Temp%\Application Data\data.dat (a log file used to store recorded keystrokes)
该蠕虫创建以下注册表文件,使得Windows启动时,蠕虫也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft® Windows® Operating System" = "%UserProfile%\Templates\VSCover.exe"
该木马还会创建下列注册表项下面的子项,以绕过Widnows防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Windir%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe" = "%Windir%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe:*:Enabled:Windows Messanger"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\local3.exe" = "%Temp%\local3.exe:*:Enabled:Windows Messanger"
然后,它创建以下注册表项:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID\ID\"DC596I04Z1" = "Local"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\INSTALL\DATE\"DC596I04Z1" = "[DATE THREAT EXECUTES MM/DD/YYYY]"
然后,它修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\[CERTIFICATE NUMBER]\"Blob" = "[BINARY DATA]"
然后,它尝试到受感染的计算机上打开一个后门,通过连接下列远程地址的4444端口:
alosh66.myftp.org
远程攻击者可能执行以下操作:
登录按键
执行拒绝服务攻击(DoS)
打开和关闭CD / DVD托盘
禁用Windows防火墙
获取通过连接到api.ipinfodb.com的的IP信息
修改hosts文件
下载图像,并设置为桌面壁纸
它的代码注入攻击者选择的进程
从SQLite服务器检索信息
它试图通过各种P2P软件,如Azureus,BT下载,电驴,Kazaa和LimeWire传播。
它还试图通过AOL即时信使(AIM)的传播。
然后,它尝试在所有连接上的可移动驱动器上的复制传播本身。 该蠕虫病毒,然后创建以下文件,以便它运行时,自动访问打开驱动器:
%DriveLetter%\autorun.inf
它也可以打开一个Web浏览器窗口,浏览到Facebook的网页。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭可移动驱动器的自动播放功能。
W32.Printlove
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
W32.Printlove是一个蠕虫病毒,通过可移动驱动器,并利用漏洞传播。它还在受感染的计算机上下载文件和拦截信息。
蠕虫执行时,它会创建以下互斥对象:
Global\{66C44A83-3E94-438b-8278-812E2D8D603F}
它会创建以下文件:
%Temp%\DLL[RANDOM CHARACTERS].tmp.dll
%Temp%\VBS[RANDOM CHARACTERS].tmp.vbs
接着,该蠕虫创建以下注册表项,降低Microsoft Word中的安全设置:
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security\"AccessVBOM" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\"AccessVBOM" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Security\"AccessVBOM" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Security\"AccessVBOM" = "1"
然后,蠕虫打开一个新的Microsoft Word并插入的宏代码,用以执行生成的.dll文件。
该蠕虫试图利用以下漏洞传播:
微软Windows打印后台处理服务远程代码执行漏洞(CVE-2010-2729) 它还试图在可移动驱动器上将自身复制为以下文件的传播:
%DriveLetter%\thumbs.exe
该蠕虫将创建下列文件,以便在可移动驱动器连接访问时,蠕虫自动开始执行:
%DriveLetter%\autorun.inf
接下来,蠕虫,从被感染的计算机上搜集以下信息:
计算机名称
国家
语言
版本信息,包括:平台编号,版本号和Service Pack版本号
然后把窃取的信息发送到以下地址:
[http://] agoogle.in/ lovetest/ ldrcf
该蠕虫也可以从上面的远程服务器下载恶意文件,并执行它们。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。安装最新的Windows安全补丁。
钓鱼网站提示:
**.**8866866666.com/
www.**zss.com/fz.htm
www.**ngdongwggdongwgdongwgongwgngwggwgwgg
**loadoadadd.**pornornrnn.cf.gs
www.**ngdongwggdongwgdongwgongwgngwggwgwgg
挂马网站提示:
http://weiershi188.**222.org
http://y2321dscsca.**222.org
http://yefd32255.**888.org
http://hj688.**222.org
http://llbo00fano0.**888.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供