Trojan.Cridex
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Cridex是一个木马,它可能将受感染计算机上添加到僵尸网络,并窃取信息。
该木马通过钓鱼邮件的附件被下载到计算机。
当执行木马程序时,它会创建注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\[RANDOM GUID]\ShellFolder\[RANDOM CHARACTERS] = [ENCRYPTED CONFIGURATION DATA]
然后,木马连接到以下僵尸网络模块之一:
203.172.141.250:8080
74.208.11.204:8080
然后,将僵尸网络模块复制到以下位置:
%SystemDrive%\Documents and Settings\All Users\Application Data\[RANDOM CHARACTERS].tmp
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\wwnotify = rundll32.dll %SystemDrive%\Documents and Settings\All Users\Application Data\[RANDOM CHARACTERS].tmp NotifierInit
木马还可以执行以下操作:
将受感染计算机添加到僵尸网络、通过P2P协议等通信,检查配置信息、下载并执行其它模块、下载并执行其它文件、将自身注入到IE浏览器
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Arsivir
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Arsivir是一个木马,它在受感染计算机上下载其他恶意文件。
当执行木马程序时,它会创建以下文件:
%SystemDrive%\Documents and Settings\All Users\Application Data\Chromium.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\a_chrome.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\free.exe
%UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\[EXTENSION ID]\bg.txt
%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\[EXTENSION ID]\bg.txt
木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Google Chromium = %SystemDrive%\Documents and Settings\All Users\Application Data\Chromium.exe
木马尝试用文件%SystemDrive%\Documents and Settings\All Users\Application Data\Chromium.exe覆盖以下文件:
%UserProfile%\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe
%UserProfile%AppData\Local\Yandex\YandexBrowser\Application\browser.exe
%ProgramFiles%\Mozilla Firefox\firefox.exe
%ProgramFiles%\Opera\launcher.exe
然后,修改以下注册表项:
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 0
HKEY_LOCAL_MACHINE, Software\Policies\Google\Update\UpdateDefault = 0
木马添加以下内容到hosts文件:
127.0.0.1 tools.google.com
127.0.0.1 clients4.google.com
木马连接以下远程地址:
www.filmver.com
www.neran.net
www.pornokan.com
木马可以下载可执行文件,并更新Chrome浏览器的扩展工具。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁
Android.Fakescarav
警惕程度 ★★★
影响平台:Android
Android.Fakescarav是一个木马,它在受感染的设备上欺骗用户删除一个虚假的恶意软件,并可以通过支付金额显示设备上虚假的安全警告。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.androidsantivirus
Version: 1.2.7
Name: Antivirus Android's Security
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
搜索和配对蓝牙设备、连接蓝牙设备、防止设备休眠、读取或写入系统设置、打开网络连接、改变网络连接状态、关于wifi的访问信息、关于网络的访问信息、介入位置信息,如GPS信息、获取位置信息,如wifi、检查手机当前状态、读取用户的通话记录、阅读设备上的短信、写入外部存储设备、新建短信、清除缓存、找出安装包、获取账户服务的访问列表、读取用户的联系人数据、创建新的联系人数据、结束后台进程、读取用户的浏览器历史记录和书签、读取服务信息、使设备振动,自动启动
3.安装
一旦安装完毕,木马显示以下应用程序图标:
4.功能:
该木马伪装成防病毒应用程序。
当木马执行时,它声称该设备感染恶意软件。并要求支付金额用来除去设备上本就不存在的虚假恶意软件,进行诈骗。
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒谷歌邮箱类钓鱼网站:http://jkbmclasses.in/wir3arts/bigwire/;危害:骗取用户账号及密码信息。
假冒购物类钓鱼网站:http://www.yadaegf.cn/;危害:虚假购物信息,骗取用户钱财。
假冒学校类钓鱼网站:http://www.vfeedu.org/;危害:骗取用户信息,进行非法牟利。
假冒医药类钓鱼网站:http://www.alenyachina.net/;危害:虚假医药信息,诱骗用户汇款。
假冒建设银行类钓鱼网站:http://www.11183hp.ml/pay/jian/;危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供