Trojan.Expilan
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Expilan是一个木马,它在受感染计算机上下载其他恶意软件并窃取信息。
该木马以以下文件名被下载到计算机:
slideshow.exe
当执行木马程序时,它会创建以下文件:
%Temp%\IXP001.TMP\pictures.exe
%Temp%\IXP000.TMP\AdobeR1.exe
%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\AdbrRader.exe
%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\AdobeIns.exe
%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\GoogleUpate.exe
%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\GooglUpd.exe
%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\nvisdvr.exe
%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe
%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\rundl132.exe
%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\svhosts.exe
%UserProfile%\Application Data\Microsoft\Windows\win32.tmp\vgadmysadm.tmp
%UserProfile%\Application Data\Microsoft\Windows\win32.tmp\vgosysaext.tmp
%UserProfile%\Application Data\Microsoft\Windows\win32.tmp\vg2sxoysinf.tmp
%UserProfile%\Application Data\Microsoft\Windows\win32.tmp\v2cgplst.tmp
木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\UpdAdbreader = %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe
然后,创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Direct3D\MostRecentApplication\Name = pictures.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\DirectSound\Mixer Defaults\DirectSound\Speaker Configuration\Speaker Configuration = 140004
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0 = rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 \%Temp%\IXP000.TMP\\
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup1 = rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 \%Temp%\IXP001.TMP\\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\System\CurrentControlSet\Enum\PCI\VEN_8086&DEV_2415&SUBSYS_00008086&REV_01
HKEY_CURRENT_USER\DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293
木马下载以下其他恶意文件:
Trojan.Zbot
Downloader.Ponik
然后,木马搜集以下信息:
主机名、操作系统信息、计算机制造商,型号和类型、CPU,内存,BIOS及引导设备信息、启动时间、系统所在时区、网络信息
木马连接到以下远程地址:
[http://]myexternalip.com/r[REMOVED]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Geplook
警惕程度 ★★★
影响平台:Android
Android.Geplook是一个木马,它在受感染的设备上下载其他APP。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
PPackage name: com.centerincludeblade.eletricscreen
App name: Temp
Version number: 3.0
Package name: com.horizoncolddifferent.eletricscreen
App name: Ferrari Luxury Cars
Version number: 3.3
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
打开网络连接、关于网络访问信息、关于wifi状态访问信息、检查手机当前状态、账户访问列表、管理账户列表、验证账户
3.安装
一旦安装完毕,木马显示以下应用程序图标之一:
4.功能:
该木马执行时,会收集以下图片内容:
木马可以连接以下远程地址:
[http://]shuabang.appad.mobi[REMOVED]
[http://]play.google.com
木马还可以执行以下操作:
创建或与被感染设备关联的远程攻击者的电子邮件账户、下载应用程序、使用Google Play商店、发送设备信息到远程地址
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
Android.Badaccents
警惕程度 ★★★
影响平台:Android
Android.Badaccents是一个木马,它在受感染的设备上下载其他应用程序。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.movieshow.down
Version number: 1.0
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
打开网络连接、写入外部存储设备、安装应用程序包
3.安装
一旦安装完毕,木马显示以下应用程序图标:
4.功能:
该木马执行时,会显示一个图片,声称软件免费:
然后木马检查设备的制造商,并从以下远程地址下载应用程序:
[http://]f.cl.ly/items/132B2E2f0t46241d3s06/%EA%B2%B0%ED%98%BC%E[REMOVED]
[http://]f.cl.ly/items/1h1i2C2M1M2P1r0l2M3u/%EC%B2%AD%EC%B2[REMOVED]
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒腾讯软件类钓鱼网站:http://www.cf5730.com/;危害:虚假信息,骗取用户账号及密码信息。
假冒购物类钓鱼网站:http://www.yadaegf.cn/;危害:虚假购物信息,骗取用户钱财。
假冒医药类钓鱼网站:http://mt.meiyuanchun.com/mrt/;危害:虚假医药信息,诱骗用户汇款。
假冒谷歌邮箱类钓鱼网站:http://pcip.ir/itunes/img/drive.google.com/pdf/;危害:骗取用户账号及密码信息。
假冒工商银行类钓鱼网站:http://198.100.120.203/icbc/;危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供