Downloader.Chanitor
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Downloader.Chanitor是一个木马,它在受感染计算机上下载其他恶意文件。
当执行木马程序时,它会创建以下文件:
%AppData%\Windows\
%AppData%\Windows\winlogin.exe
木马创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogin = %AppData%\Windows\winlogin.exe
然后,创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\05F16C88-71D3-42C1-BB4F-E9BAF7DB4A9E\cfg = {[GUID]}SERV }[HOSTNAME]
木马连接到以下远程地址:
api.ipify.org
ho7rcj6wucosa5bu.tor2web.org
然后,木马从以上远程地址下载并执行恶意文件。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Poisoncake
警惕程度 ★★★
影响平台:Android
Android.Poisoncake是一个木马,它在受感染的设备上下载其他恶意文件,并窃取信息。
当执行木马程序时,它会在/data/usr目录下创建以下文件,然后执行该文件:
reactor.dex.jar
木马植入以下加密插件:
/data/usr/plugins/ant-1.0.5.tjj
/data/usr/plugins/ant.impl-1.0.5.tjj
/data/usr/plugins/bean-1.0.6.tjj
/data/usr/plugins/bean.impl-1.0.6.tjj
/data/usr/plugins/honeybee-1.0.5.tjj
/data/usr/plugins/honeybee.impl-1.0.5.tjj
/data/usr/plugins/moon-1.0.5.tjj
/data/usr/plugins/moon.impl-1.0.5.tjj
/data/usr/plugins/pig-1.0.5.tjj
/data/usr/plugins/pig.impl-1.0.5.tjj
/data/usr/plugins/spider-1.0.5.tjj
/data/usr/plugins/spider.impl-1.0.6.tjj
/data/usr/plugins/star-1.0.5.tjj
/data/usr/plugins/sun-1.0.5.tjj
/data/usr/plugins/sun.impl-1.0.5.tjj
然后,创建以下文件:
/data/usr/backup_plugins
/data/usr/dalvik-cache
/data/usr/download
/data/usr/honey
/data/usr/plugins
/data/usr/upgrade_tmp
/data/usr/reactor-1.0.7.tjj
/data/usr/mini.db
木马执行以下操作:
下载并执行文件、监控和记录短信、订阅超值服务、启用和禁用无线网络
然后,木马打开一个后门,并连接到以下位置:
[http://]slasty.hada1billi.info/honeycomb/ums/post[REMOVED]
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
Android.Coolreaper
警惕程度 ★★★
影响平台:Android
Android.Coolreaper是一个木马,它在受感染的设备上下载其他恶意文件,并窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.android.update.dmp
Name: Android System
Version number: 2014101611
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
拨打一个电话、使手机震动、新建短信、发送短信、阅读设备上的短信、打开网络连接、关于网络的访问信息、接入位置如GPS信息、访问下载管理器、发送下载完成意向、写入外部存储设备、检查手机当前状态、安装软件包、删除包、账户访问列表、阅读通话记录、自动启动、转存信息报告、打开,关闭或禁用状态栏和图标、打开系统提醒窗口、安装应用程序快捷方式、卸载应用程序快捷方式
3.安装
一旦安装完毕,木马再后台运行,所以不显示任何应用程序图标。
4.功能:
木马运行时,连接到以下远程地址:
[http://]51coolpad.com
[http://]coolyun.com
然后,木马可以执行以下操作:
收集敏感信息、将数据发送到远程地址、显示信息、推送广告
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒淘宝类钓鱼网站:http://thn.swlnkyp.com/,危害:骗取用户账号及密码信息。
假冒购物类钓鱼网站:http://www.fusijia.cn/,危害:虚假购物信息,骗取用户钱财。
假冒政府类钓鱼网站:http://www.ksup.com.cn/,危害:骗取用户访问,进行非法牟利。
假冒医药类钓鱼网站:http://www.meirentanggw.com/,危害:虚假医药信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://www.icbcfdo.com/indec.html,危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供