Trojan.Smoaler
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Smoaler会下载一些恶意文件,并在被感染的电脑上创建一个后门。
当木马执行时,它复制自身为以下文件:
%UserProfile%\csrss.exe
该木马在Windows每次启动时自动运行,然后创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"[NAME VARIES]" = "%UserProfile%\Application Data\csrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"[NAME VARIES]" = "%UserProfile%\Application Data\csrss.exe"
接下来,它从下列URL之一下载一个加密的DLL文件:
[http://]pgdigital.org/inde[REMOVED]
[http://]pgdigital.org/inde[REMOVED]
然后解码文件,创建一个svchost.exe的实例,并注入到该进程的文件。
该木马从被感染的电脑上收集有关受保护的存储对象,用户名,密码,邮件信息等个人信息。
该木马也可访问以下网址:
[http://][HOST]/inde[REMOVED]
[http://][HOST]/inde[REMOVED]
注:[HOST]可以是以下地址:
pgdigital.org
www.kumatoznik.ru
nugromilzek.ru
suledinezo.ru
mudfenilso.ru
hutovodnic.ru
该木马程序,会打开一个TCP端口,并可以接受这个端口上的命令。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Cleaman
警惕程度 ★★★
影响平台 Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Cleaman是一个木马,被感染电脑用户使用搜索引擎网站搜索后,该木马对结果的目标链接进行重定向,指向一个恶意网站。
该木马通过邮件附件传播,当邮件用户打开邮件附件后,会从网上下载一个恶意文件到被感染的电脑上。它也可以使用一个无效的数字证书,以欺骗用户以为它是一个合法的文件。
当木马执行时,它将挂钩下列Windows API:
ntdll.NtResumeThread
ntdll.NtEnumerateValueKey
ntdll.NtQuerySystemInformation
ntdll.LdrLoadDll
kernel32.FindFirstFileA
kernel32.FindNextFileA
kernel32.FindFirstFileW
kernel32.FindNextFileW
ws2_32.connect
然后该木马程序,将隐藏任意名为dplayx.dll和dplaysvr.exe的文件,包括合法的,非恶意的文件,所以它不会被感染的计算机上看到。如果该文件是由系统要求的文件,该木马会回答该文件不存在。
它本身也注入到每一个正在运行的进程。它也将自身附加到任何新的进程或库被装入。
该木马检查每个请求的域。如果要求以下网址之一,它重定向到一个不同的IP地址:
www.google.com
www.bing.com
search.yahoo.com
该线程也可能链接下列IP:
66.85.153.132
94.63.147.17
预防和清除:
不要点击不明网站;打开不明邮件附件,由于该木马主要由邮件附件传播,因此打开邮件附件前最好了解附件内容;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能;
JS.Phremous
警惕程度 ★★★
影响平台 Win98/Win 9X/ME/NT/2000/Vista/XP/2003
JS.Phremous是一个蠕虫病毒,将自身复制到可移动驱动器和网络共享,也可以下载潜在的恶意文件。
当蠕虫执行时,它创建下列文件:
%UserProfile%\Desktop\M0rPheS.tpl
%UserProfile%\Start Menu\M0rPheS.tpl
%UserProfile%\My Documents\M0rPheS.tpl
%UserProfile%\Start Menu\Programs\M0rPheS.tpl
%UserProfile%\Start Menu\Programas\M0rPheS.tpl
它也创建在所有驱动器上,包括可移动驱动器和网络共享文件夹下:
%DriveLetter%\M0rPheS.tpl
该蠕虫创建lnk文件:
%DriveLetter%\[FOLDER NAME].lnk
%UserProfile%\Desktop\[FOLDER NAME].lnk
%UserProfile%\Start Menu\[FOLDER NAME].lnk
%UserProfile%\My Documents\[FOLDER NAME].lnk
%UserProfile%\Start Menu\Programs\[FOLDER NAME].lnk
%UserProfile%\Start Menu\Programas\[FOLDER NAME].lnk
该蠕虫病毒还会隐藏下列文件夹:
%DriveLetter%\[FOLDER NAME]
%UserProfile%\Desktop\[FOLDER NAME]
%UserProfile%\Start Menu\[FOLDER NAME]
%UserProfile%\My Documents\[FOLDER NAME]
%UserProfile%\Start Menu\Programs\[FOLDER NAME]
%UserProfile%\Start Menu\Programas\[FOLDER NAME]
该蠕虫病毒隐藏一个HTML文件,并可以以不同的方式启动。例如,如果它会在Internet Explorer被打开时启动,它试图移动显示器的普通视图之外的IE窗口,使用户无法看到任何网页。然而,在任务栏将仍然显示相关的IE窗口。
该蠕虫是一个脚本文件,该脚本也可以下载自身的更新以及下载其它脚本。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Ransomlock.L
警惕程度 ★★★
影响平台 Win98/Win 9X/ME/NT/2000/Vista/XP/2003
Trojan.Ransomlock.L是一个木马,锁定桌面,使电脑无法使用。然后,它要求用户支付费用给木马发布者,以解开锁定。
该木马必须手动下载和安装。
它也可能将自身复制到以下位置:
%System%\[RANDOM CHARACTERS].exe
每次Windows启动时,木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME]\[RANDOM CHARACTERS FILE NAME].exe"
它还创建以下注册表项来禁用Windows任务管理器,Windows注册表编辑器,和Windows系统配置实用程序服务:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\"Debugger" = "P9KDMF.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\"Debugger" = "P9KDMF.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\"Debugger" = "P9KDMF.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegedit" = "1"
接下来,它会删除以下子项下的所有注册表项,以禁用Windows安全模式:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
该木马可能会显示以下消息:
ERROR 1409: Could not write value Folders to Key
然后木马将注入到进程svchost.exe中
接下来,木马可能会尝试连接到以下的远程地址之一,以下载恶意服务器的命令:
[http://]spatbe-w.com/[REMOVED]
[http://]qoa-a.com/[REMOVED]
[http://]horad-fo.com/[REMOVED]
如果下载的命令是锁,木马锁定在桌面上,使计算机无法使用
然后下载并显示一条消息要求用户支付金钱用来解除电脑桌面的锁定状态,并显示如下图:
预防和清除:
不要点击不明网站;打开不明邮件附件;不要下载不明软件,要下载需要去正规网站下载,下载完毕后需要对所下载的文件进行病毒扫描后才确定是否使用。定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
钓鱼网站提示:
**.**8866866666.com/
www.**ngdongwggdongwgdongwgongwgngwggwgwgg.com/adfile/qita.htm
**loadoadadd.**pornornrnn.cf.gs
**att.**liaoiaoaoo.com
**3.**.1.65
挂马网站提示:
http://haoguniang.**666.org
http://bobofafang123.**666.org
http://hj688.**222.org
http://ku67.**666.org
http://dujszgf.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供