Trojan.Destfallen
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Destfallen是一个木马,它会覆盖受感染计算机上的主引导记录。
当执行木马程序时,它会创建以下文件:
%Temp%\XmlLite.dll
%Temp%\wsss.dll
木马复制wordpad.exe到以下地址,并执行:
%Temp%\Wordpad.exe
然后,木马复制自身到以下位置:
%System%\bddsvc.dll
%System%\iconsvc.dll
%System%\ehressvc.dll
%System%\netstsvc.dll
%System%\pnas.dll
%System%\pnrpmchname.dll
%System%\pwpsvc.dll
%System%\pcssvc.dll
%System%\rregconf.dll
%System%\scardmngsvc.dll
%System%\tcpmsvc.dll
%System%\tschmng.dll
%System%\mmthread.dll
%System%\wcmngsvc.dll
%System%\coladj.dll
%System%\wndmodmng.dll
%System%\timesyncsvc.dll
%System%\wiredconfsvc.dll
%System%\wlanconf.dll
%System%\wstmng.dll
木马创建一个以下属性的服务:
显示名称:
BitLocker Drive Decryption Service
Internet Connection Service
Media Center Service
Network Storage Service
Peer Networking Address
PNRP Machine Name
Power Policy
Program Compatibility Service
Remote Registry Configuration
Smart Card Management Service
Tablet PC Management Service
Task Schedule Manager
Thread Ordering Service
WebClient Manage Service
Windows Color Adjustment
Windows Modules Management
Windows Time Synchronization
Wired Config Service
WLAN Config Service
Workstation management
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Lastacloud
警惕程度 ★★★
影响平台:Android
Android.Lastacloud是一个木马,它在受感染的设备上窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name:
com.whatsapp.update
com.androidbrowser.update
Version:
2.11.401
19.03.124.5
Name:
WhatsApp Update
Browser Update
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
访问该账户的服务列表、获取位置信息、打开网络连接、读取用户的联系人数据、阅读设备上的短信、将信息写入内部和外部存储、读取内部和外部的存储、使用麦克风进行录音、监视,修改或结束拨出电话、改变电话状态、关于网络的访问信息、关于wifi状态信息、写入和读取用户的浏览器历史记录和书签、读取用户的日历数据、自动启动、读取用户的通话记录
3.安装
4.功能:
该木马执行时,会收集以下信息:
IMSI、IMEI、ICCID、电话号码、制造商和型号
木马还可以执行以下操作:
录制音频,包括电话、下载并执行文件、将窃取的信息发送到远程地址
木马可以连接以下远程地址:
[http://]klarkvoplige.livejournal.com
[http://]boberder.livejournal.com
[http://]lindamenson.livejournal.com
[http://]supermenson.livejournal.com
[http://]coolcoridos.livejournal.com
[http://]www.tumblr.com/blog/boler[REMOVED]
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
Android.Smsstealer
警惕程度 ★★★
影响平台:Android
Android.Smsstealer是一个木马,它在受感染的设备上窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.dsifakf.aoakmnq
Version: 1.0
Name: Assassin's creed
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
关于网络访问信息、读取外部存储设备、写入外部存储设备、新建短信、发送短信、检查收集当前状态、防止手机进入休眠、自动启动、允许访问账户的服务列表、打开网络连接、阅读设备上的短信、监控收到的短信、监视,修改或结束拨出电话
3.安装
一旦安装完毕,木马显示以下应用程序图标,该图标为刺客信条游戏的图像:
4.功能:
该木马执行时,会运行一个经过修改的刺客信条游戏。
然后连接到以下远程地址:
[http://]bnk7ihekqxp.net
[http://]googleapiserver.net[REMOVED]
木马在后台收集以下信息:
电话号码、用户ID、短信
木马将上述窃取的信息发送到远程地址。
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒奔跑吧兄弟类钓鱼网站:http://ny1659.xiecyzvys3cn.pw/;危害:虚假中奖信息,诱骗用户汇款。
假冒购物类钓鱼网站:http://fh.cnfumei.com.cn/;危害:虚假购物信息,骗取用户钱财。
假冒医药类钓鱼网站:http://wap.dbhgj.com/;危害:虚假医药信息,诱骗用户汇款。
假冒谷歌邮箱类钓鱼网站:http://manspray.com/test/doc/;危害:骗取用户账号及密码信息。
假冒农业银行类钓鱼网站:http://www.icjth.com/;危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供