Backdoor.Vasport
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Vasport 会在被感染的电脑上创建一个后门。
当木马执行时,它会把自身复制成以下文件:
%UserProfile%\Application Data\conime.exe
它会在Windows系统启动时运行,并创建一下注册表子项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ServiceEXE" = "%UserProfile%\Application Data\conime.exe"
接下来,它会以HTTP POST打开一个后门,连接到以下位置:svr01.passport.serveuser.com
它也可以下载和执行潜在的恶意文件。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Backdoor.Wiarp
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Wiarp 会在被感染的电脑上创建一个后门。
当木马执行时,它会创建以下文件:
%SystemDrive%\Documents and Settings\All Users\Application Data \MicroTemp\werport.dll
%SystemDrive%\Documents and Settings\All Users\Application Data \MicroTemp\wiarpc.dll
接下来,它会以打开一个后门,连接到以下位置,并等待远程攻击者的命令:
[http://]update.yahoo-upgrade.com/ch[REMOVED]
远程攻击者可以执行以下操作:
1.注入到正在运行的进程的文件
2.结束正在运行的进程
3.创建服务
4.下载远程文件
5.打开一个命令行
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Backdoor.Linfo
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Linfo 会在被感染的电脑上创建一个后门。
当木马执行时,它会创建以下文件:
%ProgramFiles%\Internet Explorer\lg.dat
%Windir%\tp.ds
%Windir%\tp.dat
%Windir%\linkinfo.dll
接下来,它会以打开一个后门,连接到以下位置,并等待远程攻击者的命令:
[http://]www.ancold.org.au/mycfg/mycmd/[ENCODED HO[REMOVED]
[http://]www.ancold.org.au/mycfg/myscr/Myup[REMOVED]
远程攻击者可以执行以下操作:
1.上传系统信息
2.下载,上传,执行,删除,移动和复制文件
3.启动一个远程shell
4.列出正在运行的进程
5.本地驱动器的列表内容
6.搜索本地文件
7.创建和删除目录
8.下载一个更新的配置文件
9.改变频率间隔,和远程服务器的计算机连接
10.执行shellcode
11.更改命令和控制服务器
12.关闭或重新启动被感染的计算机
13.注销当前用户
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Tatanarg.B
警惕程度 ★★★
影响平台 Win98/Win 9X/ME/NT/2000/Vista/XP/2003
Trojan.Tatanarg.B是一个试图从被感染的计算机窃取信息的木马。
该木马的代码注入到explorer.exe进程。
该木马连接到端口31439的下列地点:
www.[DOMAIN NAME]/g.php
注:[DOMAIN NAME]是可变的,并可以更改。
该木马删除以下文件:
%UserProfile%\Application Data\Identities\[RANDOM CLSID]\LicenseValidator.exe
该木马创建以下注册表子项:
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartCurrId
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMainId
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\PersistFolder
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\PersistFile
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartProcIrq
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMainMask
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartCurrMask
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\ReserveProgram
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Run\"LicenseValidator" = "%UserProfile%\Application Data\Identities\[RANDOM CLSID]\LicenseValidator.exe"
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"StartUrlId" = "0"
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\"Browse Files" = "[RANDOM CLSID]"
HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\"Browse Folders" = "[RANDOM CLSID]"
该木马可以监视以下Web浏览器上的活动,以捕捉访问的网页的详细信息:
Sol、Chrome、Firefox、Internet Explorer、Opera、Maxthon
木马捕捉敏感信息,如运行的所有进程的数据,网页浏览历史记录,和网上银行网站访问的细节,并把它发送到以下的远程地址:
[http://]qualitymayorista.com/swf/[REMOVED]
[http://]klthk.cz/pgm/[REMOVED]
[http://]www.willowbendfitnessclub.com/com/[REMOVED]
[http://]www.go-cube.ch/[REMOVED]
该木马可能以中间人方式使用假证书来攻击银行网站。
预防和清除:
不要点击不明网站;打开不明邮件附件;不要下载不明软件,要下载需要去正规网站下载,下载完毕后需要对所下载的文件进行病毒扫描后才确定是否使用。定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
钓鱼网站提示:
**.**8866866666.com/
**loadoadadd.**pornornrnn.cf.gs
www.**ceoeoo.net/toufei2.htm
**3.**.1.65
**att.**liaoiaoaoo.com
挂马网站提示:
http://haoguniang.**666.org
http://lv63.**222.org
http://hj688.**222.org
http://llbo00fano0.**888.org
http://lttx2009.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供