Trojan.Aybord
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Aybord是一个木马,它在受感染计算机上下载其他恶意代码。
当执行木马程序时,它会注入以下进程:
Skype.exe
然后,木马连接到以下远程地址:
80.241.223.128
木马从远程地址下载以下文件:
%Temp%\GoogleUpdate.exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate = %Temp%\GoogleUpdate.exe
木马下载并打开以下干净的PDF文件:
%UserProfile%\Application Data\Microsoft\Windows\Yabrod.pdf
木马还下载其他恶意软件。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Pladofu
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Pladofu是一个木马,它在受感染计算机上打开一个后门,窃取信息,并可以下载其他木马。
当执行木马程序时,它会创建以下文件:
%Temp%\Config.ini
%Temp%\Install.exe
%SystemDrive%\[RANDOM CHARACTERS]\Config.ini
%SystemDrive%\[RANDOM CHARACTERS]\[RANDOM CHARACTERS].exe
%SystemDrive%\[RANDOM CHARACTERS]\setting.xml
%SystemDrive%\1.txt
木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run TFM0N = %SystemDrive%\[RANDOM CHARACTERS]\[RANDOM CHARACTERS].exe
木马删除以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = svchsot.exe
木马连接到以下远程地址:
[http://]192.74.246.40:3201
[http://]61814984.qzone.qq.com/ma[REMOVED]
[http://]192.74.246.41:805/[REMOVED]
[http://]192.74.246.41:805/inde[REMOVED]
木马下载远程控制与命令服务器的IP地址,并把地址保存到以下文件:
[PATH TO MALWARE]\lang.ini
木马修改%System%\drivers\etc\hosts文件,添加以下地址:
kisa.kbstcr.com
kisa.shinhcn.com
kisa.ibk.co.kr
kisa.kab.co.kr
kisa.kfcc.co.kr.r
kisa.kbstor.com.r
KisA.nONGhuyp.coM.r
kisa.shinhon.com.r
kisa.wooribenk.com.r
kisa.honabenk.com.r
kisa.epostbenk.go.kr.r
kisa.idk.co.kr.r
kisa.kcb.co.kr.r
kisa.kfoc.co.kr.r
kisa.hanabenk.com.r
www.kbstar.com.r
www.nonghyup.com.r
www.shinhan.com.r
www.wooribank.com.r
www.hanabank.com.r
www.epostbank.go.kr.r
www.ibk.co.kr.r
www.idk.co.kr
www.keb.co.kr.r
www.kfcc.co.kr.r
BestLotto.co.kr
LottoRICH.Co.kr
lottok.co.kr
basiclotto.co.kr
lotto369.net
g9.co.kr
lottons.com
lottopangpang.co.kr
lottogold.co.kr
lottoplay.co.kr
lottorich.co.kr
lottosmart.kr
nlotto.co.kr
www.BestLotto.co.kr
www.LottoRICH.Co.kr
www.lottok.co.kr
www.basiclotto.co.kr
www.lotto369.net
www.g9.co.kr
www.lottons.com
lottopangpang.co.kr
www.lottogold.co.kr
www.lottoplay.co.kr
www.lottorich.co.kr
www.lottosmart.kr
www.nlotto.co.kr
auction.co.kr
www.auction.co.kr
gmarket.co.kr
www.gmarket.co.kr
bing.com
www.bing.com
11st.co.kr
www.11st.co.kr
gmarket.net
www.gmarket.net
google.co.kr
www.google.co.kr
nate.com
www.nate.com
daum.com
daum.co.kr
www.daum.co.kr
www.daum.net
daum.net
www.zum.com
zum.com
kisa.nenghuyp.com
kisa.honabenk.com
kisa.idk.co.kr
kisa.kcb.co.kr
kisa.kfoc.co.kr
naver.com
www.naver.co.kr
naver.co.kr
www.nonghyup.com
www.naver.com
naver.kr
www.naver.kr
kisa.kbstor.com
kisa.nonghuyp.com
kisa.shinhon.com
kisa.wooribenk.com
kisa.ibek.co.kr
kisa.epostbenk.go.kr
kisa.hanabenk.com
kisa.keb.co.kr
kisa.kfcc.co.kr
www.nate.net
www.nate.co.kr
nate.co.kr
hanmail.net
www.hanmail.net
www.hanacbs.com
kfcc.co.kr
www.kfcc.co.kr
www.daum.net
daum.net
www.kbstor.com
www.nonghuyp.com
www.shinhon.com
www.wooribenk.com
www.ibek.co.kr
www.epostbenk.go.kr
www.hanabenk.com
www.keb.co.kr
木马还可以执行以下操作:
下载并执行文件、创建服务、创建归档并发送给远程攻击者
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁
Backdoor.Mivast
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Mivast是一个木马,它在受感染计算机上打开一个后门,窃取信息,并可以下载其他木马。
木马将自身伪装成其他应用程序被下载到受感染计算机。
当执行木马程序时,它创建以下文件:
%Temp%\Center[RANDOM NUMBERS].dat
%Temp%\msi.dll
%Temp%\s.exe
%Temp%\setup.msi
%Temp%\MicroMedia
%Temp%\MicroMedia\MediaCenter.exe
然后,木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Micromedia
木马将注入以下进程打开一个后门:
svchost.exe
然后,木马可能打开一个后门,连接到以下地址之一:
sharepoint-vaeit.com:80
extcitrix.we11point.com:80
sb-ssl.google.com:80
192.199.254.126/view.asp?[PARAMETERS]
192.199.254.126/photo/[STRING].jpg?[PARAMETERS]
木马还可以执行以下操作:
打开远程shell、运行基本命令、下载并执行.exe文件、删除自身、读取和发送文件数据、收集NTLM密码信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒淘宝类钓鱼网站:http://www.bhyhtof.com/;危害:虚假订单信息,骗取用户账号及密码信息。
假冒购物类钓鱼网站:http://www.hk-iphone5s.com/;危害:虚假购物信息,骗取用户钱财。
假冒腾讯类钓鱼网站:http://www.cf5560.com/;危害:虚假软件信息,骗取用户账号及密码信息。
假冒医药类钓鱼网站:http://www.chnjiajiao.cn/;危害:虚假医药信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://www.icbclo.com/;危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供