Trojan.Exprez
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Exprez是一个木马程序,它在受感染的电脑上执行恶意的操作。
该木马必须手动安装。
该木马删除一下文件:
%CurrentFolder%\[FIVE RANDOM UPPER CASE CHARACTERS].doc
%CurrentFolder%\[FIVE RANDOM UPPER CASE CHARACTERS].doc
%UserProfile%\Application Data\Microsoft\[NINE RANDOM UPPER CASE CHARACTERS].exe
%Windir%\xpsp2res.dll
%UserProfile%\Application Data\Microsoft\ntuser.ini
%UserProfile%\Application Data\Microsoft\ntuser.inf
%UserProfile%\Application Data\Microsoft\ntuser.dat
它会在Windows系统启动时运行,生成一个桌面的快捷方式:
%UserProfile%\Start Menu\Programs\Startup\[NINE RANDOM UPPER CASE CHARACTERS].lnk
该快捷方式将运行以下程序:
%UserProfile%\Application Data\Microsoft\[NINE RANDOM UPPER CASE CHARACTERS].exe -launcher
该木马结束以下进程:
taskmgr.exe
该木马试图修改以下文件夹中的doc文档:
%CurrentFolder%
该木马尝试连接以下网址:
[http://]avtoclub.eu/admin/ajax/way
[http://]vnk.sk/js/way
[http://]1nlreality.sk/admin/user/way
[https://]forum.perfect-privacy.com/imag
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑的自动播放功能,养成手动启动光盘,打开U盘等外接设备的习惯。不要打开一些不明的可执行文件。
W32.Flamer
警惕程度 ★★★
影响平台:Win XP/Vista
W32.Flamer是一个蠕虫病毒,当它接收到来自远程攻击者的指令时,会尝试进行传播,。它也打开了一个后门,可能会从受感染的计算机窃取信息。
该蠕虫不会自动传播,需要远程攻击者的指令才能执行传播。如果攻击者需要,他会以以下方式传播:
1.网络共享传播
2.微软打印机后台处理服务远程代码执行漏洞(CVE-2010-2729)
3.可移动存储介质的自动播放功能
4.利用微软的"LINK/PIF"的快捷方式自动执行漏洞(CVE-2010-2568
劫持客户的微软自动更新
当蠕虫运行时,可能会创建以下文件:
%System%\boot32drv.sys
%System%\ccalc32.sys
%System%\csvde.exe
%System%\msglu32.ocx
%System%\mssecmgr.ocx
%System%\nteps32.ocx
%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSAudio\audcache
%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSAudio\audfilter.dat
%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSAudio\dstrlog.dat
%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSAudio\lmcache.dat
%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSAudio\ntcache.dat
%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSAudio\wavesup3.drv
%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
%Temp%\~a38.tmp
%Temp%\~c34.tmp
%Temp%\~DEB93D.tmp
%Temp%\~dra53.tmp
%Temp%\~HLV084.tmp
%Temp%\~HLV084.tmp
%Temp%\~HLV294.tmp
%Temp%\~HLV473.tmp
%Temp%\~HLV473.tmp
%Temp%\~HLV751.tmp
%Temp%\~HLV927.tmp
%Temp%\~HLV927.tmp
%Temp%\~KWI988.tmp
%Temp%\~mso2a0.tmp
%Temp%\~mso2a2.tmp
%Temp%\~rf288.tmp
%Temp%\~ZFF
%Temp%\dat3C.tmp
接下来,木马会创建以下注册表项,使得Windows启动时蠕虫也执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\"wave9" = "%SystemDrive%\Program Files\Common Files\Microsoft Shared\msaudio\wavesup3.drv"
该蠕虫从受感染的电脑上搜集以下信息:
计算机名称、驱动器的属性,例如大小、打印机的信息、注册设备、可拆卸的媒体属性、正在运行的进程、服务、系统代码页、系统盘符、时间和时区信息、DHCP信息、DNS信息、网关设置、主机文件、互网连接的信息、IP地址、邮件服务器配置、网络适配器和接口、开放的端口、代理设置、路由表、Wi-Fi网络名称和简介、AutoCAD文件Office文件、PDF文件、安装的应用程序、网络流量监控、用户数据和环境
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Tinba
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Tinba是一个木马,它从被感染的电脑上窃取信息。
它在执行时,将复制自身到以下位置:
%SystemDrive%\Documents and Settings\All Users\Application Data\default\bin.exe
该木马然后修改以下文件访问不安全的网站时禁用Mozilla Firefox的警告:
%SystemDrive%\Documents and Settings\All Users\Application Data\Mozilla\Firefox\Profiles\[USER PROFILE NAME]\user.js
木马将创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"default" = "%SystemDrive%\Documents and Settings\All Users\Application Data\default\bin.exe"
然后,它修改下列注册表项,以改变Internet Explorer设置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1609" = "0"
该木马注入到以下进程:
explorer.exe
Svchost.exe
该木马注入到以下浏览器的代码中:
iexplore.exe
chrome.exe
Firefox.exe
之后,该木马结束以下进程;
explorer.exe
Svchost.exe
接下来,木马在下面的文件中记录监测网络流量的信息:
%SystemDrive%\Documents and Settings\All Users\Application Data\default\web.dat
该木马把盗取的信息发送到以下的地址之一:
[http://]dakotavolandos.com
[http://]dakotavolandos.com
[http://]dak1otavola1ndos.com
[http://]dako22tavol2andos.com
[http://]d3akotav33olandos.com
[http://]d4ak4otavolandos.com
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
W32.SillyFDC.BDQ
警惕程度 ★★★
影响平台 Win Vista/XP
W32.SillyFDC.BDQ是一个蠕虫,它试图将自身复制到映射盘和可移动驱动器传播。
该蠕虫运行时,它将自身复制到下列地址:
%System%\systemio.exe
%SystemDrive%\Mixa_I.exe
%Windir%\Mixa.exe
蠕虫还创建下列文件:
%System%\mui\0416\log.wma
%System%\restart.scf
接着,蠕虫会创建下列注册表,用以在Windows启动时,蠕虫也启动运行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Virus" = "%Windir%\Mixa.exe"
接着,蠕虫会修改下列注册表,用以在Windows启动时,蠕虫也启动运行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\systemio.exe"
然后,该蠕虫修改以下注册表项修改Windows资源管理器设置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"DisableThumbnailCache" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"WebView" = "1"
接下来,蠕虫试图散布的所有映射的驱动器上创建以下文件:
%DriveLetter%\Mixa_I.exe
该蠕虫还在连接受感染电脑的所有可移动驱动器上创建以下文件:
%DriveLetter%\mixa_i.exe
该蠕虫还创建以下文件,用以在可移动驱动器连接受感染电脑时,执行蠕虫:
%DriveLetter%\autorun.inf
%SystemDrive%\Autorun.inf
预防和清除:
不要点击不明网站;打开不明邮件附件;不要下载不明软件,要下载需要去正规网站下载,下载完毕后需要对所下载的文件进行病毒扫描后才确定是否使用。定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭计算机的自动播放功能。
钓鱼网站提示:
**.**8866866666.com/
**loadoadadd.**pornornrnn.cf.gs
**1.**2966966666.com
**3.**.1.65
www.**ngdongwggdongwgdongwgongwgngwggwgwgg
挂马网站提示:
http://ly1666.**222.org
http://lv63.**222.org
http://hj688.**222.org
http://llbo00fano0.**888.org
http://haoguniang.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供