Trojan.Filurkes.B
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Filurkes.B是一个木马,它在受感染计算机上下载其他恶意代码。
当执行木马程序时,它会创建以下文件之一:
%SystemDrive%\Documents and Settings\All Users\Application Data\man.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\fc.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\vw.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\wapi.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\setup.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\env.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\p10.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\theme.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\http.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\mm.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\pool.drv
%SystemDrive%\Documents and Settings\All Users\Application Data\sta.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\core.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\mi.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\dlg.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\in_32.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\el32.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\ER32.DLL
%SystemDrive%\Documents and Settings\All Users\Application Data\help.dll
%SystemDrive%\Documents and Settings\All Users\Application Data\API32.DLL
然后,木马创建以下数据文件之一:
%SystemDrive%\Documents and Settings\All Users\Application Data\ddd2.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\pdk2.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\km48.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\9llq.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\ddqq.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\834r.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\gi4q.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\wu3w.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\qq34.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\dqd6.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\w4ff.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\ok4l.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\kfii.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\ie31.dat
%SystemDrive%\Documents and Settings\All Users\Application Data\4433.dat
然后,木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Classes\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887}\InProcServer32 = [PATH TO DLL FILE]
HKEY_CURRENT_USER\Software\Classes\Drive\ShellEx\FolderExtensions\{118BEDCC-A901-4203-B4F2-ADCB957D1887}\DriveMask = 0xffffffff
HKEY_CURRENT_USER\Software\Classes\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887}\InProcServer32\ThreadingModel = Apartment
木马连接到以下远程地址:
peltry77relay.com
木马还下载其他恶意软件。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Backtar
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Backtar是一个木马,它在受感染计算机上运行其他木马。
当执行木马程序时,它会创建以下文件:
%ProgramFiles%\Google\Google Update.exe
木马创建以下注册表项,到达开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate = %ProgramFiles%\Google\Google Update.exe
木马修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %System%\userinit.exe,%ProgramFiles%\Google\Google Update.exe
木马包含一个加密的Backdoor.Breut木马,它解密并执行该木马,加载到内存中。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁
Android.Accstealer
警惕程度 ★★★
影响平台:Android
Android.Accstealer是一个木马,它在受感染的设备上窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.sexywallpapers.wallpaper.sexy
Version: 1.1
Name: SexyWallpapers
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
读取或写入系统设置、打开网络连接、关于网络的访问信息、自动启动、使手机震动、防止设备休眠、访问用户的账户服务列表、检查手机当前状态、关于wifi信息、接入位置信息,如GPS、写入外部存储设备
3.安装
4.功能:
该木马伪装设备墙纸应用程序。
当木马执行时,收集以下APP账户的详细信息:
Facebook、Twitter、Gmail
然后木马将窃取的信息发送到以下远程地址:
[http://]5.10.71.142/s/s[REMOVED]
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒淘宝类钓鱼网站:http://103.30.40.3/taobao/com/;危害:骗取用户账号及密码信息。
假冒购物类钓鱼网站:http://www.hk-py.com/ip6/ip6.html;危害:虚假购物信息,骗取用户钱财。
假冒谷歌邮箱类钓鱼网站:http://www.joluvarts.gm/mwn/Lugin.html;危害:骗取用户账号及密码信息。
假冒医药类钓鱼网站:http://kz.zimilan.org/;危害:虚假医药信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://957753.m19m7.cn/;危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供