JS.Runfore
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
JS.Runfore是一个病毒,它感染电脑上的所有.js文件。
病毒执行时,它会搜寻受感染的电脑中的.js文件并追加本身的恶意代码。
文件运行时,它连接到以下网址:
[http://] [16个随机字符].ru/ runfor
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。文件被感染后,下载相关的专杀工具进行杀毒,和对被感染文件的修复。
Trojan.Basutra
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Basutra是一个木马,它修改受感染电脑中的主引导记录(MBR)。
接下来,木马会修改以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\"ClearPageFileAtShutdown" = "1"
然后更改Administrator帐户的密码为 HaHaHa_[随机数]。
它还停止Alerter和System Event Notification 服务。
接下来,它会删除所有逻辑驱动器上的所有目录和文件。
然后,它的试图连接以下地址的8080或110端口:
60.251.179.122
59.125.212.242
83.111.232.62
121.241.218.66
125.212.62.11
然后,它会覆盖主引导记录(MBR)。当被感染的计算机重新启动时,会显示黑屏,并且计算机无法运行。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Backdoor.Snifula.D
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Snifula.D是一个木马,它在受感染的计算机上打开一个后门。
在木马执行时,它会修改下列注册表项下面的子项,以禁用计算机的警告信息:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\NoProtectedModeBanner
该木马还可能会修改下列注册表项下面的子项,以降低IE浏览器的安全等级:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"2500" = "0"
然后,它创建以下注册表项:
HKEY_CURRENT_USER\Software\AppDataLow\{GUID}\"s1" = "[HEXADECIMAL VALUE]"
HKEY_CURRENT_USER\Software\AppDataLow\{GUID}\"k1" = "[HEXADECIMAL VALUE]"
HKEY_CURRENT_USER\Software\AppDataLow\{GUID}\"k2" = "[HEXADECIMAL VALUE]"
HKEY_CURRENT_USER\Software\AppDataLow\{GUID}\"Version" = "[HEXADECIMAL VALUE]"
该木马可以查看它是否被以下的进程所加载:
iexplore.exe
firefox.exe
explorer.exe
chrome.exe
opera.exe
safari.exe
接下来,木马可能利用命令和控制(C&C的)连接下面服务器上80端口的POST请求:
membran.com.tw
mastermi.com.tw
oberon323.com.tw
vnuess3.com.tw
79.137.214.18
64.62.146.101
然后,它可能会试图窃取cookie信息以及从远程地址下载并执行文件。
它也可以从被感染的计算机窃取证书,并将它们发送到的C&C服务器。然后,它可以创建归档被盗的证书在以下位置:
%UserProfile%\Local Settings\Temp\[16 HEXADECIMAL CHARACTERS].tmp
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Fakeavlock
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Fakeavlock是一个木马,它故意欺骗受感染计算机的用户此计算机存在严重的安全隐患,并锁定计算机使计算机无法使用,然后要求计算机用户支付解锁费用。
在木马执行时,它会创建以下文件:
%UserProfile%\Local Settings\Application Data\[RANDOM CHARACTERS].exe
木马执行时,它把自身界面伪装成杀毒软件,并执行以下操作:
1.报告计算机上不存在的恶意软件或安全隐患。
2.对计算机上不存在的恶意软件或安全隐患,频繁的弹出警报
3.提示购买激活软件,用来从计算机中删除不存在的恶意软件或安全风险
4.组织访问合法的应用程序运行(或关闭他们,如果他们已经运行)5.组织访问网页,在浏览器中显示一条警告消息。
该木马运行时如下图:
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
钓鱼网站提示:
**.**8866866666.com/
**loadoadadd.**pornornrnn.cf.gs
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
挂马网站提示:
http://kaihao.**666.org
http://cigunue.**666.org
http://hj688.**222.org
http://llbo00fano0.**888.org
http://ttjysaipu.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供