Trojan.Ladocosm
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Ladocosm是一个木马,它在受感染计算机上下载其他文件。
该木马是由以下恶意代码下载到受感染计算机:
Downloader.Busadom
当执行木马程序时,它会创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WindowDbg Tools = rundll32.exe [THREAT FILE NAME].dll
然后,木马创建以下互斥体:
Global\9-9-99-999ABDF-6845-404F-350D-4567ABCDEE-4-E-66
木马连接到以下远程地址:
iad23s02-in-f33.1b100.net
木马收集以下系统信息:
DHCP服务器、适配器名称、适配器地址
木马还可以执行以下操作:
下载数据,并加载到内存中,然后执行、使用HTTP隧道绕过安全软件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Cozer
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Cozer是一个木马,它在受感染计算机上打开一个后门。
当执行木马程序时,它会创建以下文件:
%Temp%\hppscan854.pdf
%Temp%\reader_sl.exe
%UserProfile%\Application Data\ATI_Subsystem\atiadlxx.dll
%UserProfile%\Application Data\ATI_Subsystem\aticfx32.bin
%UserProfile%\Application Data\ATI_Subsystem\aticfx32.dll
%UserProfile%\Application Data\ATI_Subsystem\clinfo.exe
%UserProfile%\Application Data\ATI_Subsystem\coinst_13.152.dll
%UserProfile%\Application Data\ATI_Subsystem\racss.dat
%Windir%\Tasks\atiapfxx_Client.job
%Windir%\Tasks\clinfo_Info.job
木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\atipblag_System = %UserProfile%\Application Data\ATI_Subsystem\clinfo.exe %UserProfile%\Application Data\ATI_Subsystem\aticfx32.dll, ADL_Display_DeviceConfig_Get
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amdhwdecoder_Info = %UserProfile%\Application Data\ATI_Subsystem\clinfo.exe %UserProfile%\Application Data\ATI_Subsystem\aticfx32.dll, ADL_Display_DeviceConfig_Get
木马还创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\atigktxx_Host = %UserAppData%\ATI_Subsystem\clinfo.exe %UserProfile%\Application Data\ATI_Subsystem\aticfx32.dll, ADL_Display_DeviceConfig_Get
木马伪装成一个PDF文件,一旦被执行,将打开以下一个干净的PDF文件:
%Temp%\hppscan854.pdf
木马如果检测到自身在以下虚拟环境中运行,则会停止:
VMWare、Parallels Workstation、VirtualBox、Sandboxie
木马如果检测到以下安全工具进程,也会停止:
regmon.exe、windump.exe、syser.exe、procexp.exe、tcpview.exe、petools.exe、idag64.exe、wireshark.exe、winspy.exe、idaq64.exe、netsniffer.exe、apimonitor.exe、iris.exe
木马通过任意TCP的443端口连接到以下地址:
200.119.128.45
202.206.232.20
木马还可以连接到以下网址:
[https://]twitter.com/monkey[REMOVED]
木马打开一个后门,允许攻击者执行以下操作:
下载文件、上传文件、执行文件、结束进程、收集系统信息,如用户名,计算机名,操作系统版本,IP地址,MAC地址,安装的安全软件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁
Downloader.Busadom
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Downloader.Busadom是一个木马,它在受感染计算机上下载其他恶意软件。
当执行木马程序时,它创建以下文件:
%UserProfile%\Local Settings\Application Data\[RANDOM CHARACTERS].[RANDOM CHARACTERS]
木马创建以下注册表项来降低计算机的安全设置:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\iad12s04-in-f22.1h100.net\http = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\iad12s04-in-f22.1h100.net\https = 0
木马连接到以下远程地址:
[http://]iad12s04-in-f22.1h100.net[REMOVED]
[http://]iad12s04-in-f22.1h100.net/init_pos[REMOVED]
feedback.turkishairiine.com/feed/b.php
iad12s04-in-f22.1h100.net/irwravxrc/tra_q.php
[http://]iad12s04-in-f22.1h100.net/pv.[REMOVED]
然后,木马可以执行以下操作:
下载并执行文件、收集系统信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒谷歌邮箱类钓鱼网站:http://yrws.goodykids.com/support/shares/;危害:骗取用户账号及密码信息。
假冒购物类钓鱼网站:http://www.cppqg.com/;危害:虚假购物信息,骗取用户钱财。
假冒腾讯类钓鱼网站:http://www.cfak47w.com/;危害:虚假软件信息,骗取用户账号及密码信息。
假冒医药类钓鱼网站:http://zxrj.lxnkm.com/;危害:虚假医药信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://www.jzidc.net/icbc/default.htm;危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供