PHP.Brobot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
PHP.Brobot是一个PHP木马,远程攻击者利用一台受感染的计算机上托管的web服务器,发动DDoS攻击。
当木马执行时,它可能会删除下列文件:
f1.pl
indx.php
rp.php
run.pl
srcurl.php
start.php
startphp.php
stcp.php
stmdu.php
stp.php
stpf.php
stph.php
然后该木马在受感染计算机上打开一个后门。
如果这台受感染的计算机上有托管的服务器,远程攻击者可以发送命令来启用它,执行DDoS攻击
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Rocra
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Rocra是一个木马,它在受感染的计算机上打开一个后门。该木马也被称为红色十月。
当木马会利用下列漏洞,执行一些有针对性的攻击:
Microsoft Excel 'FEATHEADER' Record Remote Code Execution Vulnerability (CVE-2009-3129)
Microsoft Office RTF File Stack Buffer Overflow Vulnerability (CVE-2010-3333)
Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158)
Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability (CVE-2011-3544)
该木马可能会执行以下文件:
Bloodhound.Exploit.306
Bloodhound.Exploit.366
Bloodhound.Exploit.457
Trojan.Maljava
Trojan.Maljava!gen27
木马接着创建下列文件:
%ProgramFiles%\WINDOWS NT\msc.bat
%ProgramFiles%\WINDOWS NT\[RANDOM CHARACTERS FILE NAME].lt
%ProgramFiles%\WINDOWS NT\Svchost.exe
然后,该木马从受感染的计算机上搜集信息,并发送到下列远程地址:
csrss-check-new.com
csrss-update-new.com
csrss-upgrade-new.com
dll-host-check.com
dll-host-udate.com
dll-host.com
dllupdate.info
drivers-check.com
drivers-get.com
drivers-update-online.com
genuine-check.com
genuineservicecheck.com
genuineupdate.com
microsoft-msdn.com
microsoftcheck.com
microsoftosupdate.com
mobile-update.com
ms-software-check.com
ms-software-genuine.com
ms-software-update.com
msgenuine.net
msinfoonline.org
msonlinecheck.com
msonlineget.com
msonlineupdate.com
new-driver-upgrade.com
nt-windows-check.com
nt-windows-online.com
nt-windows-update.com
os-microsoft-check.com
os-microsoft-update.com
osgenuine.com
services-check.com
svchost-check.com
svchost-online.com
svchost-update.com
update-genuine.com
win-check-update.com
win-driver-upgrade.com
windows-genuine.com
windowscheckupdate.com
windowsonlineupdate.com
wingenuine.com
wins-driver-update.com
wins-update.com
xponlineupdate.com
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Netbot
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Backdoor.Netbot是一个木马,它在受感染的计算机上打开一个后门。
当木马执行时,它会创建以下文件:
%Temp%\~WD34F1.tmp
接下来,它会尝试创建一个TCP连接到远程命令与控制服务器。
然后,它在受感染的计算机上可能会执行以下操作:
远程桌面控制
创建,删除,复制,重命名,修改文件
结束进程
枚举驱动器
执行任意文件
列出文件夹内容
列出进程
关闭并重启计算机
启动交互式命令程序
窃取现有文件内容
屏幕截图
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Securetalk
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Backdoor.Securetalk是一个木马,它在受感染的计算机上打开一个后门。
当木马执行时,它会创建以下文件:
[CSIDL APPDATA]\Microsoft\[RANDOM CHARACTERS FILE NAME].dll
[CSIDL PERSONAL]\Startup\[RANDOM CHARACTERS FILE NAME].exe
该木马会修改受感染计算机上的设置,并将下列文件夹作为启动文件夹:
[CSIDL PERSONAL]\Startup
接下来,它会把下列文件加载到explorer.exe进程中:
[CSIDL APPDATA]\Microsoft\[RANDOM CHARACTERS FILE NAME].dll
然后,它使用HTTPS协议连接到远程控制与命令服务器。
然后,它可能在受感染的计算机上执行以下操作:
创建,修改文件
枚举驱动器
执行任意文件
列出文件夹内容
启动一个交互式shell
窃取现有文件内容
窃取机密信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://909tk-com.**222.org
http://88899.**222.org
http://wmgf.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供