W32.Wergimog.B
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
W32.Wergimog.B是一个蠕虫病毒,试图通过可移动驱动器传播。它也会在受感染的电脑上打开一个后门,从计算机内窃取信息。
当蠕虫执行时,它会把自身复制成以下文件:
%UserProfile%/Application Data/Microsoft/services[THREE RANDOM NUMBERS].exe
它会在Windows系统启动时运行,并创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Adobe Reader Speed Launcher" = "%UserProfile%/Application Data/Microsoft/services[THREE RANDOM NUMBERS].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Adobe Reader Speed Launcher" = "%UserProfile%/Application Data/Microsoft/services[THREE RANDOM NUMBERS].exe"
接着,它启动Explorer.exe进程并注入代码。它也可能注入其他进程。它不会注入到以下系统的相关进程:
System、System Idle Process、csrss.exe
然后,它尝试打开后门,连接到5786端口的远程地址:
ns2.kasprsky.org
ns2.lksadxniuszkla.org
然后,它可以执行以下操作:
1.下载并执行一个远程文件
2.执行UDP和SYN洪水攻击
3.执行Slowloris攻击
4.列出目录
5.执行进程
6.更新和/或删除自身
7.打开一个请求的URL
它还试图窃取以下网站的用户名和密码信息:
paypal.com
hackforums.net
thepiratebay.org
megaupload.com
hotfile.com
fileserve.com
uploading.com
它还修改了本机链接以下的社交网站的端口:
Facebook 、Twitter 、Myspace 、Linkedin 、Hi5 、Hyves 、Omegle 接下来,它会搜寻受感染的计算机上的其他恶意软件,它发现的任何恶意软件的进程会被它结束。
蠕虫的传播通过将自身复制到可移动驱动器为以下文件:
%DriveLetter%\adober~1/dsci5829.jpg
为了在另一台计算机上使用驱动器时感染电脑,它也可以创建以下文件:
%DriveLetter%\autorun.inf
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑的自动播放功能,养成手动启动光盘,打开U盘等外接设备的习惯。
W32.Stekct
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
W32.Stekct是一个蠕虫病毒,试图通过即时通讯和社交网络传播。它也在受感染的计算机上打开一个后门。
通过即时通讯和社交网络蠕虫传播下列文件:
%Windir%\MDM.EXE
它会在Windows系统启动时运行,并创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Firevall Engine" = "%Windir%\MDM.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Firevall Engine" = "%Windir%\MDM.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Firevall Engine" = "%Windir%\MDM.EXE"
该蠕虫讲自身添加到WINDOWS的信任网络列表中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Windir%\mdm.exe" = "%Windir%\mdm.exe:*:Enabled:MSN Messenger"
该蠕虫试图禁用下列防病毒程序:
Antivirservice、avgnt、aviraupgradeservice、AVP、kavsvc、msascui、msmpsvc、windefend、WUAUSERV
该蠕虫在受感染的计算机上打开一个后门,允许攻击者执行下列操作:
1.从远程站点下载潜在的恶意文件并执行它们
2.下载垃圾邮件被发送到用户的即时通讯和社交网络消息联系人
然后,该蠕虫尝试在以下的即时通讯和社交媒体平台上的发送垃圾邮件:
AIM、Google Talk、ICQ、MSN、Yahoo! Messenger、Facebook、Skype、Windows Live Messenger
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Ransomlock.O
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Ransomlock.O是一个木马,锁定桌面,使电脑无法使用。然后,它要求用户支付费用给木马发布者,以解开锁定。
它在执行时,将自身复制到以下位置:
%UserProfile%\Application Data\froot\froot.exe
每次Windows启动时,木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Free" = "%UserProfile%\Application Data\froot\froot.exe -b"
接下来,木马可能会尝试连接到远程地址,允许远程服务器上的攻击者对受感染的电脑执行以下操作:
1.删除文件
2.下载并显示要求提交赎金的消息
3.下载更新
4.提交PIN 码
在受感染电脑桌面上显示要求提交赎金的信息,并锁定该电脑钟面后,该木马会结束以下进程:
msconfig.exe
narrator.exe
regedit.exe
seth.exe
taskmgr.exe
utilman.exe
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Komodola
警惕程度 ★★★
影响平台 Win Vista/XP
Trojan.Komodola是把受感染的计算机上互联网流量重定向,并试图窃取信息的木马。
在执行时,该木马会删除下列文件:
%System%\gb_catchme.exe
%System%\devcon.exe
%SystemDrive%\SessionChange_[DATE]_[TIME].log
%System%\gb_service.exe
%System%\registro_bb.reg
%System%\registro_driver.reg
%System%\registro_itau.reg
%System%\registro_sicredi.reg
%System%\snetcfg.exe
该木马会修改以下文件:
%System%\drivers\etc\hosts
该木马创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"Start" = "0x2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"ErrorControl" = "0x0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"Type" = "0x10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"DisplayName" = "Auto Gas"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"ImagePath" = "%System%\gb_service.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\NetCfgLockHolder\"(Default)" = "Sample Netcfg Application (netcfg.exe)"
该木马从被感染的计算机中收集的信息,并把它发送到远程地址。
木马的卸载如下的内容:
GpPlugin
WinpkFilter driver
该木马也可能把银行网站网络通信重定向到一个恶意服务器,以窃取受感染电脑用户的登录信息。
预防和清除:
不要点击不明网站;打开不明邮件附件;不要下载不明软件,要下载需要去正规网站下载,下载完毕后需要对所下载的文件进行病毒扫描后才确定是否使用。定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
钓鱼网站提示:
**.**8866866666.com/
**loadoadadd.**pornornrnn.cf.gs
**1.**2966966666.com
**3.**.1.65
**att.**liaoiaoaoo.com
挂马网站提示:
http://haoguniang.**666.org
http://lv63.**222.org
http://hj688.**222.org
http://llbo00fano0.**888.org
http://yywsj.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供