Trojan.Pasam
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Pasam会在被感染的电脑上创建一个后门。
当木马执行时,它会自动生成以下文件:
%System%\iglicd64.dll
%System%\msjtea40.dll
它会将Windows系统文件%SYSTEM%\ samsrv.dll复制到%System%\ Dllcache\ samsrv.dll〜。
它还感染%SYSTEM%\ samsrv.dll文件,以加载%SYSTEM%\ iglicd64.dll。
接下来,它会在受感染计算机打开一个后门连接到TCP端口443上的下列位置:
updating.vicp.cc
然后,它可以执行下列任何一个动作:
发送主机名
发送文件列表
发送正在运行的进程列表
发送免费的磁盘空间信息
结束进程
删除,执行,或上载文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Ransomlock.N
警惕程度 ★★★
影响平台 Win98/Win 9X/ME/NT/2000/Vista/XP/2003
Trojan.Ransomlock.N是一个木马,锁定桌面,使电脑无法使用。然后,它要求用户支付费用给木马发布者,以解开锁定。
当木马执行时,将自身复制到以下位置:
%UserProfile%\Application Data\itunes_service01.exe
每次Windows启动时,木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\itunes_service01.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Bj9oGoDo-wn3q-TS4w-kuRv-OWYzmoDRGxZa}\"[RANDOM CHARACTERS]" = "\"%UserProfile%\Application Data\itunes_service01.exe\" /ActiveX"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%UserProfile%\Application Data\itunes_service01.exe,C:\WINDOWS\System32\userinit.exe,"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "%UserProfile%\Application Data\itunes_service01.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\itunes_service01.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%UserProfile%\Application Data\itunes_service01.exe,C:\WINDOWS\System32\userinit.exe,"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "%UserProfile%\Application Data\itunes_service01.exe
它还创建以下注册表项来禁用Windows任务管理器,Windows注册表编辑器,和Windows桌面:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDesktop" = "1"
该木马然后修改以下注册表项来隐藏图标:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideIcons" = "1"
它还会修改以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1400" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"1400" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\"1400" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"DefaultConnectionSettings"
接下来,木马会连接到以下的地址,打开一个HTML页面,显示一些支付的信息:
[http://]joonwalker.com/unser1/redirector/redirec[REMOVED]
[http://]joonwalker.com/unser1/universalpanel/gate[REMOVED]
页面显示有关赎金的细节,并提供了一种方法,可以在被感染电脑的用户支付赎金后户输入解锁代码,如下图:
预防和清除:
不要点击不明网站;打开不明邮件附件;不要下载不明软件,要下载需要去正规网站下载,下载完毕后需要对所下载的文件进行病毒扫描后才确定是否使用。定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Adobe Flash Player 漏洞:CVE-2012-0779
针对对象:Adobe Flash Player 11.2.202.235 之前的版本
除Adobe Flash播放器11.1.115.8 / 11.1.111.9以外的版本
漏洞类型:远程代码执行漏洞
攻击者可以利用这个问题,在受影响的用户上下载执行任意代码。某些攻击尝试可能会导致拒绝服务(DDos)。
漏洞现状:该漏洞正处于爆发高峰期
解决方案:Adobe官方已经提供该漏洞补丁的自动更新,打开Adobe Flash,提示更新,安装更新即可。也可以使用第三方安全软件进行更新,例如360安全卫士,选择修复漏洞(补丁名称:KB370058),系统扫描后修复漏洞即可。
钓鱼网站提示:
**.**8866866666.com/
www.**ngdongwggdongwgdongwgongwgngwggwgwgg.com/adfile/qita.htm
www.**ceoeoo.net/toufei2.htm
www.**ceoeoo.net/toufei.htm
**att.**liaoiaoaoo.com
挂马网站提示:
http://haoguniang.**666.org
http://lv63.**222.org
http://hj688.**222.org
http://llbo00fano0.**888.org
http://jhisihs.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供