Trojan.Ecltys
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Ecltys是一个木马,它在受感染的电脑上打开一个后门。
该木马病毒通过电子邮件传播,它伪装成邮件的附件,从而传播。
当木马执行时,它会创建以下文件:
fxsst.dll
该木马在受感染的计算机上打开后门,并连接到以下远程地址:
squik.bigish.net
happy.hugesoft.org
[https://]10.10.1.1/api/get_attention_num/adf[REMOVED]
[https://]10.10.1.1/loa/database3/sun.[REMOVED]
[https://]10.10.1.1/pp/core/cgi/wor[REMOVED]
[https://]10.10.1.1/sheq/por/blomofun/bord[REMOVED]
[https://]10.10.1.1/status/MutiqueryVP/ma[REMOVED]
[https://]10.10.1.1/sub/cgi-bin/gm[REMOVED]
[https://]10.10.1.1/uc/myshow/blog/misc/gif/show[REMOVED]
[https://]10.10.1.1/images/ic[REMOVED]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Ransomlock.Q
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Ransomlock.Q是一个木马,它锁定受感染电脑的桌面,使之无法使用,要求电脑用户支付金钱用以解锁。
当木马执行时,它会创建以下文件:
%UserProfile%\Application Data\msconfig.dat
%UserProfile%\Application Data\msconfig.ini
该木马会创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "explorer.exe,%UserProfile%\Application Data\msconfig.dat"
接着,它会锁定桌面,并在桌面显示如下图象:
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Ransomlock.R
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Ransomlock.R是一个木马,它锁定受感染电脑的桌面,使之无法使用,要求电脑用户支付金钱用以解锁。
当木马执行时,它会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"(Default)" =
"%CurrentFolder%\[RANDOM FILE NAME]"
接着,它会锁定桌面,要求用户支付金钱用来解锁,并在桌面显示如下图象:
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Ransomlock.S
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Ransomlock.S是一个木马,它锁定受感染电脑的桌面,使之无法使用,要求电脑用户支付金钱用以解锁。
当木马执行时,它将自身复制到以下位置:
%CurrentFolder%\[THREAT FILE NAME].exe
当木马执行时,它会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"GoogleChrome" = "%CurrentFolder%\[THREAT FILE NAME].exe"
接着,它会锁定桌面,要求用户支付金钱用来解锁,并在桌面显示如下图象:
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Ransomlock.T
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Ransomlock.T是一个木马,它锁定受感染电脑的桌面,使之无法使用,要求电脑用户支付金钱用以解锁。
当木马执行时,它将自身复制到以下位置:
%UserProfile%\Application Data\system\[THREAT FILE NAME].exe
它会创建以下文件:
%UserProfile%\Application Data\rt1.png
%SystemDrive%\RECYCLER\find_me.tmp
当木马执行时,它会创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, %UserProfile%\Application Data\system\[THREAT FILE NAME].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Update" = "%UserProfile%\Application Data\system\[THREAT FILE NAME].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"Update" = "%UserProfile%\Application Data\system\[THREAT FILE NAME].exe"
它还创建下面的注册表项,将自己添加到电脑防火墙的授权合法名单中;
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%UserProfile%\Application Data\system\[THREAT FILE NAME].exe" = "%UserProfile%\Application Data\system\[THREAT FILE NAME].exe:*:Enabled:[THREAT FILE NAME].exe"
接着,它会锁定桌面,要求用户支付金钱用来解锁,并在桌面显示如下图象:
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://damuzhi01.**222.org
http://snxwsj.**222.org
http://tzcpggz.**222.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供