Trojan.Zatvex!gen5
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Zatvex!gen5是一个木马,他对被感染的计算进行网络流量的监控,并重定向。
木马执行时,它会创建下列文件:
%System%\zzvetza.dll
然后,它修改下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\zzvetza.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"LoadAppInit_DLLs" = "1"
然后该木马会重新启动计算机。
该木马会从受感染的计算机中收集的信息,并把它发送到以下网址:
[http://]yandexdns.com/loPtfdn3dSasoicn/get
它也可以下载一个配置文件,允许它执行各种操作。
该木马可以监视和网络通信重定向。
预防和清除:
更新杀毒软件的病毒数据库;不要浏览不相关网站;不要打开不明内容的电子邮件附件,即使是通讯录内的联系人所发的不明邮件;如感染该木马,在系统目录下,查找zzvetza.dll并删除该文件。如果熟悉注册表的,可以按照上述,对注册标键值名为zzvetza.dll的项进行查找,并删除该子项。
Trojan.Tracur!gen2
警惕程度 ★★★
影响平台 Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Tracur 木马感染电脑后,使用该电脑的用户搜索或者打开一个网站时,会被该木马自动定向到一个恶意的URL链接,并该木马可能会自动生成一些恶意文件。
当木马执行时,它复制自身为以下文件:
%SYSTEM%\ [现有的DLL名称] 32.exe
然后删除以下文件:
%SYSTEM%\ [现有的DLL名称] 32.exe(W32.Mozipowp)
%SYSTEM%\ [现有的DLL名称] 32.DLL
%UserProfile%\Application Data\SysWin\lsass.exe (W32.Mozipowp)
该木马程序,然后创建以下注册表项,注册为COM对象本身:
HKEY_CLASSES_ROOT\CLSID\{1811DBA0-25C3-4AF2-8504-31D35384D8Ec}\InprocServer32\"(Default)" = "%System%\[NAME OF AN EXISTING DLL]32.dll"
HKEY_CLASSES_ROOT\CLSID\{1811DBA0-25C3-4AF2-8504-31D35384D8Ec}\InprocServer32\"ThreadingModel" = "Both"
HKEY_CLASSES_ROOT\[RANDOM LETTERS]\CLSID\"(Default)" = "{c4c7969f-a03b-4f27-822b-0c2e90a111f6}"
该木马程序,然后打开一个受感染的计算机试图连接到一个服务器上的后门,然后等待命令。受感染的计算机上的远程攻击者可以执行以下操作:
1.下载并执行远程文件
2.控制Web浏览器重定向参数
3.窃取信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
Gamevance!gen6
警惕程度 ★★★
影响平台 Win98/Win 9X/ME/NT/2000/Vista/XP/2003
GameVance是一个潜在的有害的应用程序,在计算机上显示一些关键字的广告,诱骗用户点击。
这个程序必须手动安装。当程序执行时,它创建下列文件:
%UserProfile%\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\textlinks@gamevance.com\chrome\gvtextlinks.jar
%UserProfile%\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\textlinks@gamevance.com\chrome.manifest
%UserProfile%\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\textlinks@gamevance.com\components\gvtlf.dll
%UserProfile%\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\textlinks@gamevance.com\components\gvtlf.xpt
%UserProfile%\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\textlinks@gamevance.com\install.rdf
%UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\hnhgoncokajlafhnhjmccgcmgggiehjm\gvtl.js
%UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\hnhgoncokajlafhnhjmccgcmgggiehjm\manifest.json
%UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\hnhgoncokajlafhnhjmccgcmgggiehjm\npgvtl.dll
%ProgramFiles%\Gamevance Games\ars.cfg
%ProgramFiles%\Gamevance Games\gamevance32.exe
%ProgramFiles%\Gamevance Games\gamevancelib32.dll
%ProgramFiles%\Gamevance Games\gvtl.dll
%ProgramFiles%\Gamevance Games\gvun.exe
%ProgramFiles%\Gamevance Games\icon.ico
接下来,程序会创建以下注册表项,以便在Windows启动时执行该程序:
HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \运行\“Gamevance”=“C:\程序文件\ Gamevance游戏\ gamevance32.exe”
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。如果感染了该木马,查找计算机文件夹名和注册表键值为GameVance的项,并进行删除。
钓鱼网站提示:
**.**8866866666.com/
www.**ceoeoo.net/toufei2.htm
www.**ceoeoo.net/toufei.htm
**att.**liaoiaoaoo.com
**3.**.1.65
挂马网站提示:
http://991sb.**222.org
http://eehjdrw.**666.org
http://hj688.**222.org
http://bofnnabo123899.**888.org
http://wmgf.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供