Trojan.Darkshell
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan.Darkshell是一个木马,可以执行分布式拒绝服务攻击(DDoS)。控制受感染的电
脑向网络发送大量垃圾数据包,堵塞网络,造成网络连接异常缓慢,或者无法连接到相关的
服务器。
该木马将自身复制到以下位置:%SYSTEM%\ fkrekk [随机数].EXE
它也生成以rootkit技术隐藏的文件,文件名:%SYSTEM%\ DRIVERS \ PCIDump.sys
修改系统服务调度表(SSDT 的),为了隐藏该木马的 rootkit。
该木马程序,然后创建以下注册表子项添加为系统服务:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ \ Fkrk [随机数]
该木马还会创建以下注册表项:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \服务\ Fkrkk [随机数] \“的
DisplayName”=“FkreFoxkk [随机数]
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \服务\ Fkrkk [随机数] \“描
述”=“FkreFoxkk 的浏览器[随机数]
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ 服务 \ Fkrkk [ 随机数 ]
\“ErrorControl”=“0X00000000”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \服务\ Fkrkk [随机数] \“的
ImagePath”=“%SYSTEM%\ fkrekk [随机数].EXE”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \服务\ Fkrkk [随机数] \“的
ObjectName”=“本地系统”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \服务\ Fkrkk [随机数] \“开始”=“0X00000002”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \服务\ Fkrkk [随机数] \“类型”
预防和清除:
更新杀毒软件的病毒数据库;不要浏览不相关网站;不要打开不明内容的电子邮件附件,
即使是通讯录内的联系人所发的不明邮件;如感染该木马,下载 DDOS专杀工具进行查杀。
如果熟悉注册表的,可以按照上述,对注册标键值名为 Fkrkk的进行查找,并删除该子项。
Trojan.FakeAV!gen91
警惕程度 ★★★
影响平台 Win 9X/ME/NT/2000/XP/2003/Vista
该木马是Trojan.FakeAV 木马家族中的一员,为最新变种。伪装成一个杀毒软件程序,
跳出类似正常杀毒软件的扫描窗口,并提示用户计算机受到病毒感染,数量很多,要求点击
窗口下的链接,下载工具查杀;而该链接的指向地址为挂马网站,或者是木马软件等。一旦
用户打开了挂马网站,购买了所谓的查杀工具,Trojan.FakeAV 会提示计算机内的病毒已经
清楚。
预防和清除:
不要点击不明网站;打开不明邮件附件;不要轻易相信该类软件,一般杀毒软件的安装
程序比较大,不会是一个几兆大小的文件(专杀工具除外)。使用一些正规安全厂商提供的
杀毒软件。受感染后,下载专杀工具查杀。当跳出伪装的扫描窗口时,可以使用一些进程工
具查找该进程,定位到文件,进行删除。删除前先关闭该进程。
Packed.Generic.361
警惕程度 ★★★
影响平台 Win98/Win 9X/ME/NT/2000/Vista/XP/2003 它是一个经过加密或者加壳的木马,其加壳以前可能是 W32.Waledac.D 或者
Trojan.FakeAV。该木马未加壳前可能可以被杀毒软件所查杀,但加壳后可以躲过杀毒软件
的启发式扫描,从而感染用户电脑。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开
杀毒软件的病毒数据库自动更新功能。
OSX.Flashback
警惕程度 ★★★
影响平台 MAC OS
冒充OS X下的Flash插件进行诈骗活动,它伪装成一个标准的OS X安装程序,将Adobe
Flash的Logo标在安装程序中当做背景,来吸引用户安装(Flash的漏洞多到几乎每个月都有
新补丁,点下一步是用户的习惯)。这种恶意软件的感染性其实并不强烈,只需要用户注意
鉴别即可,正宗的Flash 安装程序和标准安装程序有着相当大的差异。
该木马可以得出以下的PKG 文件:
安装FlashPlayer-11-macos.pkg
在执行时,木马会创建以下文件之一:
/Applications/Safari.app/Contents/Resources/.[THREAT FILE NAME].png
/tmp/.dlp
/tmp/.i.png
/tmp/.prldr
/tmp/.vn
或者
/Applications/Safari.app/Contents/Resources/.[THREAT FILE NAME].png
/tmp/.dlp
/tmp/.i.png
/tmp/.prldr
/tmp/.vn 该木马从受感染的计算机获取一下信息:
HW.machine;内核信息;机器类型;OS 信息;密码 ;用户 ID
预防和清除:
保证尽早更新计算机系统补丁。
钓鱼网站提示:
**.**8866866666.com/
**3.**.1.65
www.**ngdongwggdongwgdongwgongwgngwggwgwgg.com/adfile/qita.htm
**loadoadadd.**pornornrnn.cf.gs
**1aa.**wanann.net/gg111a/?sid=42733&etekey=mtgzzosw4ndk3lgrqadg4odksnjawodcsndi3mz
msndi3mzms
挂马网站提示:
http://91bs.**222.org
http://eehjdrw.**666.org
http://hj688.**222.org
http://bofnnabo123899.**888.org
http://wttk.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供