Trojan.Ranbot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Ranbot是一个木马,它在受感染的计算机上打开一个后门,并窃取受感染计算机上的信息。
当木马执行时,它会创建下列文件:
%System%\[RANDOM CHARACTERS].exe
%Temp%\RGI1.tmp
然后该木马创建以下注册表项,将自身注入到svchost.exe进程中,并添加一个防火墙策略:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\svchost.exe" = "%System%\svchost.exe:*:Enabled:\[RANDOM CHARACTERS]"
它创建下列注册表项,以便每次系统启动时,木马也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"[RANDOM CHARACTERS]" = "%System%\[RANDOM CHARACTERS].exe"
该木马会修改以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"DefaultConnectionSettings" = "[BINARY DATA]"
该木马可能会注入到web浏览器,以执行以下操作:
监控互联网流量
收集银行信息
注:该木马以Alfa银行为目标。
然后,该木马在受感染的计算机上打开一个后门,从而允许远程攻击者执行以下操作:
下载文件
执行文件
上传文件
该木马可能会尝试连接到以下远程地址:
softsystem.pro
buhsoft.pro
ajxmlgat.org
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Filurkes
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Filurkes是一个木马,它窃取受感染的计算机的信息,也在受感染的计算机上下载更多的恶意文件。
该木马通过下面的漏洞进行有针对性的网络攻击:
Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability (BID 50218)
该木马可能会创建以下文件:
%System%\abc.dll
%System%\ER32.DLL
%Temp%\p2883757805.cmd
%Temp%\p2883758997.cmd
该木马会删除以下注册表子项的键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh
木马接着链接到以下URL:
anendero.com
backfor78.com
balkrude.com
derrededu.com
dyrduhnd.com
ebalck29.com
endforthe.com
for4y4rw.com
halo61flaxseed.com
hundrayd.com
llrk321jjd.com
oo34uryrtsw3.com
qnender.com
redderrde.com
tabloid66r.com
theendfor.com
wehhanda.com
xforto4m.com
然后,该木马窃取受感染的计算机上的信息,并可能下载并执行潜在的恶意文件。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Sosork
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Backdoor.Sosork是一个木马,它在受感染的计算机上打开一个后门。
该木马通常利用RTF文件的漏洞生成,就像Microsoft Windows的ActiveX控件远程代码执行漏洞。
当木马执行时,它会创建以下文件:
%UserProfile%\Start Menu\Programs\Startup\service.lnk
%Temp%\service.dll
%Temp%\service.exe
接下来,它会打开一个后门,连接到远程命令与控制服务器。
然后,它在受感染计算机上收集以下信息,并发送到远程的命令与控制服务器:
计算机名称
CPU
内存
该木马允许远程攻击者向被感染的计算机上执行以下操作:
执行文件
遍历文件系统
窃取文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Spachanel
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan.Spachanel是一个木马,它在受感染的计算机上窃取信息。
当木马执行时,它会创建以下文件:
[CSIDL APPDATA]\Microsoft\[RANDOM CHARACTERS FILE NAME].dll
[CSIDL PERSONAL]\Startup\[RANDOM CHARACTERS FILE NAME].exe
该木马会修改受感染计算机上的设置,并将下列文件夹作为启动文件夹:
[CSIDL PERSONAL]\Startup
接下来,它会把下列文件加载到explorer.exe进程中:
[CSIDL APPDATA]\Microsoft\[RANDOM CHARACTERS FILE NAME].dll
然后,它使用HTTPS协议连接到远程控制与命令服务器。
然后,它可能在受感染的计算机上执行以下操作:
创建,修改文件
枚举驱动器
执行任意文件
列出文件夹内容
启动一个交互式shell
窃取现有文件内容
窃取机密信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://lzcfc.**222.org
http://peiyuan.**666.org
http://wmgf.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供