计算机病毒预报（2014年06月02日至2014年06月08日）

Trojan.Asprox.B

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Asprox.B是一个木马，它在受感染计算机上下载其他恶意文件。

该木马作为电子邮件的附件传播到受感染计算机。

木马执行时，木马会将自身复制到以下位置：

%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe

然后，木马创建以下注册表项，达到开机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe"

该木马在受感染计算机上下载恶意文件并执行。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Commofra

警惕程度 ★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Commofra是一个木马，它从受感染计算机上窃取信息。

木马通过钓鱼邮件传染到计算机。

该木马执行时，会创建以下文件：

%UserProfile%\Application Data\[RANDOM DIGITS].bat

%UserProfile%\Application Data\Microsoft\[THREE RANDOM CHARACTERS][RANDOM WORD].exe

然后，木马创建下面的注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"GlobalUserOffline" = 0x00000000

HKEY_CURRENT_USER\Software\Microsoft\Office\Common\[EIGHT RANDOM CHARACTERS]\[10 RANDOM CHARACTERS]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[THREE RANDOM CHARACTERS][RANDOM WORD].exe" = "%UserProfile%\Application Data\Microsoft\[THREE RANDOM CHARACTERS][RANDOM WORD].exe"

木马可以再计算机上执行以下操作：

将自身注入到浏览器进程、过滤所有网络活动、监控通讯、窃取信息

木马还可以连接下列主机：

58.97.0.5:8080

31.192.210.86:8080

50.31.152.113:8080

204.93.183.196:8080

94.76.218.166:8080

69.64.69.191:8080

69.64.70.26:8080

50.31.152.124:8080

162.248.214.137:8080

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Korplug

警惕程度 ★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Korplug是一个木马，它在受感染计算机上打开一个后门，并可以窃取信息。

木马执行时，会创建以下文件：

%UserProfile%\SxS\bug.log

%UserProfile%\SxS\Nv.exe

%UserProfile%\SxS\Nv.mp3

%UserProfile%\SxS\NvSmartMax.dll

%UserProfile%\SxS\rc.exe

%UserProfile%\SxS\rc.hlp

%UserProfile%\SxS\rcdll.dll

然后，木马创建以下注册表子项:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FAST

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SXS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SxS

木马打开一个后门，并尝试连接到以下域：

ceraccoux.justdied.com

exchange.likescandy.com

facebook.blogdns.nst

fortune-creative.com

gameby.flower-show.org

ns10.itemdb.com

木马还可以执行以下操作，并将窃取的信息发送到远程服务器：

打开远程shell、记录击键、窃取有关计算机和网络的信息、截屏

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

 

 

钓鱼网站提示：

假冒支付宝类钓鱼网站：http://aasswweess11.tk/pay/；危害：骗取用户银行卡号及密码。

假冒医药类钓鱼网站：http://guanwang.meshop88.net/wxsfs/；危害：虚假药品，诱骗用户钱财。

假冒中国好声音类钓鱼网站：http://www.zjtvt55.com/；危害：虚假中奖信息，诱骗用户汇款。

假冒爸爸回来了类钓鱼网站：http://www.babwe.com/；危害：虚假中奖信息，诱骗用户汇款。

假冒工商银行类钓鱼网站：http://23.244.155.48/；危害：骗取用户银行卡号及密码。

挂马网站提示：

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org 

 

请勿打开类似上述网站，保持计算机的网络防火墙打开。

          以上信息由上海市网络与信息安全应急管理事务中心提供