病毒预报(20150216-20150222)

发布时间:2015-02-16浏览次数:1843

Trojan.Aybord

警惕程度  ★★★★

影响平台:Win 9X/ME/NT/2000/XP/Server  2003

Trojan.Aybord是一个木马,它在受感染计算机上下载其他恶意代码。

当执行木马程序时,它会注入以下进程:

Skype.exe

然后,木马连接到以下远程地址:

80.241.223.128

木马从远程地址下载以下文件:

%Temp%\GoogleUpdate.exe

然后,木马创建以下注册表项,达到开机启动的目的:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate  = %Temp%\GoogleUpdate.exe

木马下载并打开以下干净的PDF文件:

%UserProfile%\Application  Data\Microsoft\Windows\Yabrod.pdf

木马还下载其他恶意软件。

预防和清除:

不要点击不明网站打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能关闭允许远程连接电脑的功能。安装最新的系统补丁。


Trojan.Pladofu

警惕程度  ★★★★

影响平台:Win 9X/ME/NT/2000/XP/Server  2003

Trojan.Pladofu是一个木马,它在受感染计算机上打开一个后门,窃取信息,并可以下载其他木马。

当执行木马程序时,它会创建以下文件:

%Temp%\Config.ini

%Temp%\Install.exe

%SystemDrive%\[RANDOM  CHARACTERS]\Config.ini

%SystemDrive%\[RANDOM  CHARACTERS]\[RANDOM CHARACTERS].exe

%SystemDrive%\[RANDOM  CHARACTERS]\setting.xml

%SystemDrive%\1.txt

木马创建以下注册表项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  TFM0N = %SystemDrive%\[RANDOM CHARACTERS]\[RANDOM CHARACTERS].exe

木马删除以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  = svchsot.exe

木马连接到以下远程地址:

[http://]192.74.246.40:3201

[http://]61814984.qzone.qq.com/ma[REMOVED]

[http://]192.74.246.41:805/[REMOVED]

[http://]192.74.246.41:805/inde[REMOVED]

木马下载远程控制与命令服务器的IP地址,并把地址保存到以下文件:

[PATH TO  MALWARE]\lang.ini

木马修改%System%\drivers\etc\hosts文件,添加以下地址:

kisa.kbstcr.com

kisa.shinhcn.com

kisa.ibk.co.kr

kisa.kab.co.kr

kisa.kfcc.co.kr.r

kisa.kbstor.com.r

KisA.nONGhuyp.coM.r

kisa.shinhon.com.r

kisa.wooribenk.com.r

kisa.honabenk.com.r

kisa.epostbenk.go.kr.r

kisa.idk.co.kr.r

kisa.kcb.co.kr.r

kisa.kfoc.co.kr.r

kisa.hanabenk.com.r

www.kbstar.com.r

www.nonghyup.com.r

www.shinhan.com.r

www.wooribank.com.r

www.hanabank.com.r

www.epostbank.go.kr.r

www.ibk.co.kr.r

www.idk.co.kr

www.keb.co.kr.r

www.kfcc.co.kr.r

BestLotto.co.kr

LottoRICH.Co.kr

lottok.co.kr

basiclotto.co.kr

lotto369.net

g9.co.kr

lottons.com

lottopangpang.co.kr

lottogold.co.kr

lottoplay.co.kr

lottorich.co.kr

lottosmart.kr

nlotto.co.kr

www.BestLotto.co.kr

www.LottoRICH.Co.kr

www.lottok.co.kr

www.basiclotto.co.kr

www.lotto369.net

www.g9.co.kr

www.lottons.com

lottopangpang.co.kr

www.lottogold.co.kr

www.lottoplay.co.kr

www.lottorich.co.kr

www.lottosmart.kr

www.nlotto.co.kr

auction.co.kr

www.auction.co.kr

gmarket.co.kr

www.gmarket.co.kr

bing.com

www.bing.com

11st.co.kr

www.11st.co.kr

gmarket.net

www.gmarket.net

google.co.kr

www.google.co.kr

nate.com

www.nate.com

daum.com

daum.co.kr

www.daum.co.kr

www.daum.net

daum.net

www.zum.com

zum.com

kisa.nenghuyp.com

kisa.honabenk.com

kisa.idk.co.kr

kisa.kcb.co.kr

kisa.kfoc.co.kr

naver.com

www.naver.co.kr

naver.co.kr

www.nonghyup.com

www.naver.com

naver.kr

www.naver.kr

kisa.kbstor.com

kisa.nonghuyp.com

kisa.shinhon.com

kisa.wooribenk.com

kisa.ibek.co.kr

kisa.epostbenk.go.kr

kisa.hanabenk.com

kisa.keb.co.kr

kisa.kfcc.co.kr

www.nate.net

www.nate.co.kr

nate.co.kr

hanmail.net

www.hanmail.net

www.hanacbs.com

kfcc.co.kr

www.kfcc.co.kr

www.daum.net

daum.net

www.kbstor.com

www.nonghuyp.com

www.shinhon.com

www.wooribenk.com

www.ibek.co.kr

www.epostbenk.go.kr

www.hanabenk.com

www.keb.co.kr

木马还可以执行以下操作:

下载并执行文件、创建服务、创建归档并发送给远程攻击者

预防和清除:

不要点击不明网站打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能关闭允许远程连接电脑的功能。安装最新的系统补丁


Backdoor.Mivast

警惕程度  ★★★★

影响平台:Win 9X/ME/NT/2000/XP/Server  2003

Backdoor.Mivast是一个木马,它在受感染计算机上打开一个后门,窃取信息,并可以下载其他木马。

木马将自身伪装成其他应用程序被下载到受感染计算机。

当执行木马程序时,它创建以下文件:

%Temp%\Center[RANDOM  NUMBERS].dat

%Temp%\msi.dll

%Temp%\s.exe

%Temp%\setup.msi

%Temp%\MicroMedia

%Temp%\MicroMedia\MediaCenter.exe

然后,木马创建以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Micromedia

木马将注入以下进程打开一个后门:

svchost.exe

然后,木马可能打开一个后门,连接到以下地址之一:

sharepoint-vaeit.com:80

extcitrix.we11point.com:80

sb-ssl.google.com:80

192.199.254.126/view.asp?[PARAMETERS]

192.199.254.126/photo/[STRING].jpg?[PARAMETERS]

木马还可以执行以下操作:

打开远程shell、运行基本命令、下载并执行.exe文件、删除自身、读取和发送文件数据、收集NTLM密码信息

预防和清除:

不要点击不明网站打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能关闭允许远程连接电脑的功能。安装最新的系统补丁。




钓鱼网站提示:

假冒淘宝类钓鱼网站:http://www.bhyhtof.com/;危害:虚假订单信息,骗取用户账号及密码信息。

假冒购物类钓鱼网站:http://www.hk-iphone5s.com/;危害:虚假购物信息,骗取用户钱财。

假冒腾讯类钓鱼网站:http://www.cf5560.com/;危害:虚假软件信息,骗取用户账号及密码信息。

假冒医药类钓鱼网站:http://www.chnjiajiao.cn/;危害:虚假医药信息,诱骗用户汇款。

假冒工商银行类钓鱼网站:http://www.icbclo.com/;危害:骗取用户卡号及密码信息。



挂马网站提示:

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org


请勿打开类似上述网站,保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供