Backdoor.Barkiofork
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Barkiofork会在被感染的电脑上创建一个后门。
木马执行时,它会创建下列文件:
%WINDIR%\ ntshrui.dll
接下来,它会修改以下注册表项:
HKEY_CURRENT_USER \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ Explorer中\ DesktopProcess \“DesktopProcess”=“1”
文件(%WINDIR%\ ntshrui.dll)载入到进程Explorer.exe,试图打开受感染的计算机上的后门,允许远程攻击者可以执行以下操作:
1.下载并执行远程文件
2.上传系统信息,如操作系统版本,登录用户的磁盘空间和CPU信息
预防和清除:
该木马程序主要是由恶意的电子邮件传播,所以不要打开不明内容的电子邮件附件,即使是通讯录内的联系人所发的不明邮件;如感染该木马,在系统目录下,查找ntshrui.dll并删除该文件。
W32.Xpaj.B
警惕程度 ★★★
影响平台 Win 9X/ME/NT/2000/XP/2003/Vista
W32.Xpaj.B是一种计算机病毒,感染电脑上的.sys / .exe /.dll /.scr文件。
当感染该计算机病毒后,该病毒搜索电脑中的所有.sys / .exe /.dll /.scr文件并进行感染。
该病毒创建下列文件,以标记该电脑已经被感染:
%Windir%\[FOUR RANDOM NUMBERS FOLLOWED BY FOUR RANDOM LETTERS].tmp
它也可能创建以下文件:
%Temp%\[HEXADECIMAL CHARACTERS].tmp
该病毒试图联系其控制的服务器,使用以下URL:
[http://][SERVER ADDRESS]/up.[REMOVED]
注:[SERVER ADDRESS],可能是以下的远程地址之一:
74.72.199.125
abdulahuy.com
tooratios.com
该病毒可下载并执行额外的恶意文件。
该病毒将自身复制到可移动驱动器传播。
它也可以创建以下文件,以便它运行时,驱动器访问:
%DriveLetter%\autorun.inf
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能;关闭USB的自动播放功能。如果计算机被感染,可以查看计算机内dll / exe /sys /scr等文件的修改时间,如果出现一致的,都是近期的日子,则电脑很可能已经被感染。需下载病毒查杀工具进行病毒查杀,并修复被感染的文件。
Backdoor.Nitol
警惕程度 ★★★
影响平台 Win98/Win 9X/ME/NT/2000/Vista/XP/2003
Backdoor.Nitol会在被感染的电脑上创建一个后门。
当木马执行时,它复制自身为以下文件:
%ProgramFiles%\ [随机字符].EXE
然后,它尝试停止以下进程,如果他们正在运行:
RavMonD.exe
rfwsrv.exe
接下来,它会尝试从受感染的计算机中收集以下信息:
1.计算机名称
2.语言环境
3.操作系统和版本
4.CPU的信息
然后,它创建以下服务:
服务:MSUpd[随机字符]
启动类型:自动
图片路径:%PROGRAMFILES%\[随机字符].exe
显示名称:微软Windows Uqdate[随机字符]Service
服务:National[随机字符]
启动类型:自动
图片路径:%SYSTEM%\ [随机字符].exe
显示名称:National[随机字符]Instruments Domain Service
然后,它尝试打开后门,并连接到下列地址之一:
aisini1314.3322.org
daihao007.3322.org
rq00605.cn
ylddos.3322.org
ksattack.6600.org
safe.wbcode.com
bfdns1.spouv.com
20.vip.sh
zkem03.dns0755.net
119.195.85.167
qhrtk.wowip.kr
建立连接后,它会试图发送收集到的信息和执行(DDoS)攻击另一台主机上。
它还试图下载一个文件并保存为下列文件:
%TEMP%STF.EXE[随机字符]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Trojan.Ransomlock.K
警惕程度 ★★★
影响平台 Win98/Win 9X/ME/NT/2000/Vista/XP/2003
Trojan.Ransomlock.K是一个木马,锁定桌面,使电脑无法使用。然后,它要求用户支付费用给木马发布者,以解开锁定。
该木马必须手动下载和安装。
每次Windows启动时,木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"" = "%WORKINGDIRECTORY%\%SAMPLENAME%"
然后木马会锁定在桌面上,并显示如下图:
该木马连接到以下URL显示这个图片:
HTTP :/ /109.236.88.220/[随机] / pictu[REMOVED]
注:图像表示,出于安全原因已被锁定计算机。它提供了一个Windows的安全检查,要求支付100欧元后解除电脑的锁定。
预防和清除:
不要点击不明网站;打开不明邮件附件;不要下载不明软件,要下载需要去正规网站下载,下载完毕后需要对所下载的文件进行病毒扫描后才确定是否使用。定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
钓鱼网站提示:
**.**8866866666.com/
**1.**2966966666.com
**loadoadadd.**pornornrnn.cf.gs
**att.**liaoiaoaoo.com
**3.**.1.65
挂马网站提示:
http://haoguniang.**666.org
http://88899.**222.org
http://hj688.**222.org
http://bofnnabo123899.**888.org
http://aoshuntong56.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供