Trojan.Gapz
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Gapz是一个木马,它在受感染的计算机上打开一个后门,并可以下载和安装恶意程序。
当木马执行时,它注入到下面的进程:
explorer.exe
然后该木马结束原先自己的进程。
然后,木马从文件系统删除自身。
该木马使用bootkit方法,感染下列引导记录,以便Windows系统启动时,木马也开始运行:
主引导记录
卷引导记录
接下来,木马利用下列漏洞,提升自身权限:
Microsoft Windows AFD Driver CVE-2011-2005 Local Privilege Escalation Vulnerability (CVE-2011-2005)
Microsoft Windows 'Win32k.sys' TrueType Font Handling Remote Code Execution Vulnerability (CVE-2011-3402)
Microsoft Windows User Access Control (UAC) Bypass Local Privilege Escalation Vulnerability (CVE-2010-4398)
该木马使用被感染的引导记录加载恶意的驱动程序代码,从而下载木马需要的组件,并把代码注入到用户的进程中。
该木马连接到下列远程地址:
bln5mbjwf03v0v.strangled.net
nmmse0uryjv55xb.strangled.net
2rprvw59wf.strangled.net
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Hugly
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Hugly是一个木马,它在受感染的计算机上打开一个后门,并窃取信息。
当木马执行时,它会创建一个互斥体,以确保在受感染计算机上,它是唯一的副本。
然后该木马生成,并执行以下文件:
%ProgramFiles%\[CHINESE CHARACTERS].hwp
%ProgramFiles%\Common Files\config.exe
木马注入到下列的文件中,然后执行:
calc.exe
然后,木马删除下面的文件:
%CurrentFolder%\[SAMPLE_NAME].exe
然后,生成下面的文件:
%ProgramFiles%\Windows NT\hyper.dll (Trojan Horse)
接下来,木马会删除下面的文件,如果该文件存在,它会创建一个新的副本:
%ProgramFiles%\Windows NT\htrn.dll
然后,该木马创建一个下列属性的服务:
Service Name: 6to4
Image Path: %System%\svchost.exe -k netsvcs
Start Type: Automatic
接着,该木马修改下列的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\"ServiceDll" = "%ProgramFiles%\Windows NT\htrn.dll"
然后,该木马创建下列文件:
%ProgramFiles%\Windows NT\htrn.dll
接下来,木马删除下面的文件,并结束其进程:
%ProgramFiles%\config.exe
该木马从受感染的计算机上搜集以下信息:
计算机名
主机名
操作系统版本
该木马通过80端口连接到下列远程地址,并上传窃取的信息:
ahnlab.myfw.us
然后,他在受感染计算机上打开一个后门,并接受远程命令来执行以下操作:
结束进程
执行文件
打开一个远程shell
重启计算机
下载和上传文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Klankty
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Backdoor.Klankty是一个木马,它在受感染的计算机上打开一个后门,并可以下载和安装恶意程序。
当木马执行时,它会创建以下文件:
%System%\oqcito.exe
%WinDir%\Temp\1.bat
%WinDir%\adobe_update.exe
%WinDir%\Temp\IPCONFIG.INI
然后它创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\han
HKEY_CURRENT_USER\Software\adobe_update
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Security\"DisableSecuritySettingsCheck" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\WINDOWS\system32\oqcito.exe" = "C:\WINDOWS\system32\oqcito.exe:*:Enabled:Microsoft (R) Internetal IExplore"
该木马会在host文件中覆盖添加下面的内容:
113.10.187.197
www.hanabank.com
www.kbstar.com
obank.kbstar.com
pib.wooribank.com
ibs.kfcc.co.kr
banking.shinhan.com
www.ibk.co.kr
banking.nonghyup.com
mybank.ibk.co.kr
hanabank.com
然后,该木马在受感染计算机上打开一个后门,并尝试连接到以下远程地址:
han8189.tkantlf888.asia
该木马上传下面信息到远程服务器:
主机名
系统信息
该木马可以执行以下操作:
注销,重启或关闭计算机
通过ShellExecute执行命令
下载文件
读,写,枚举,移动或复制文件
截图
终止进程
执行DDOS攻击
窃取数字证书
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://sepu.**666.org
http://88899.**222.org
http://kaihao.**666.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供