Backdoor.Jiripbot
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Jiripbot是一个木马,它在受感染计算机上打开一个后门,并窃取信息。
该木马可能由另外一个恶意代码生成到本地计算机:
%UserProfile%\Application Data\Acer\LiveUpdater.exe
然后,木马创建以下注册表项:
HKEY_CURRENT_USER\Software\Acer\Preferences = [BINARY DATA]
HKEY_CURRENT_USER\Software\Acer\Options = [BINARY DATA]
HKEY_CURRENT_USER\Software\Acer\UPDATE_ID = [UNIQUE ID]
木马创建以下注册表子项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Acer LiveUpdater = %UserProfile%\Application Data\Acer\LiveUpdater.exe
木马可以执行以下操作:
执行本地命令、从受感染计算机中删除自身、删除文件、下载并执行文件、自我更新
该木马还可以收集以下信息:
操作系统版本、自动运行的文件名和路径、文件md5、命令参数、木马是否在虚拟机中运行、代理主机,端口,用户名和密码、UAC级别、运行时间、当前本地时间、当前用户名、当前域/工作组、当前默认web浏览器
然后,木马还可以连接到以下地址:
[http://]fw.ddosprotected.eu
[https://]jdk.[CUSTOM STRING].org
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Downloader.Upnoda
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Downloader.Upnoda是一个木马,它在受感染计算机上下载其他恶意代码。
一旦执行,该木马会创建以下文件:
C:\Program Files\NVIDIA Corporation\Updates\NvdUpd.exe
然后,该木马会创建以下注册表项:
HKEY_USERS\.DEFAULT\Software\NVIDIA Corporation\Global\nvUpdSrv\value = 14141103
HKEY_USERS\.DEFAULT\Software\NVIDIA Corporation\Global\nvUpdSrv\GUID = 5181c0f2-22fc-4d3e-ab9d-f12df226fc52
然后,该木马修改以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvUpdSrv\Type = dword:00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvUpdSrv\Start = dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvUpdSrv\ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvUpdSrv\ImagePath = expand:C:\Program Files\NVIDIA Corporation\Updates\NvdUpd.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvUpdSrv\ErrorControl = dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvUpdSrv\DisplayName = NVIDIA Update Server
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvUpdSrv\Description = NVIDIA Settings Update Manager service, used to check new updates from NVIDIA server
木马可以联系远程主机。
木马发送以下请求到远程主机:
GET /stat?uid=100&downlink=1111&uplink=1111&id=0007EADB&statpass=bpass&version=14141025&features=30&guid=80c040ab-5524-4a11-8f10-3eda1378bf70&comment=14141025&p=0&s=HTTP/1.0
木马对其远程主机发送以下GET命令:
>LMrMGET /robots.txt HTTP/1.1
Host: www.google.com
Accept: */*
木马允许其远程主机发送回来的数据流隐藏恶意代码。
木马下载并运行加密的文件。
远程主机列表:
184.106.82.27:40259
213.229.78.145:26084
206.220.43.92:41780
193.111.2.42:64167
195.12.48.190:61307
50.115.127.84:49105
50.17.185.81:32353
193.203.196.144:20480
149.13.20.158:32136等
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Stealthgenie
警惕程度 ★★★
影响平台:Android
Android.Stealthgenie是一个木马,它在受感染的设备上窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.device.system
Version: 1.0
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
自动启动、监控,阅读,创建和发送短信、接入位置信息,如GPS信息、禁用键盘锁、读取和创建联系人数据、检查手机当前状态、拨打一个电话、监视,修改或结束拨出电话、打开网络连接、关于网络访问信息、关于wifi状态访问信息、读取用户的浏览历史记录和书签、读取用户的日历数据、读取用户的gmail数据、写入外部存储、使用设备的麦克风进行录音、收集电池统计信息、使手机震动、防止设备休眠、访问账户的服务列表、允许访问低级电源管理
3.安装
一旦安装完毕,木马不显示图标。
4.功能:
该收集以下信息:
电话、联系人信息,包括姓名,电话号码,联系人照片、电子邮件、地理位置、关于音乐的存储信息、关于影片的存储信息、安装的应用程序列表、短信、市区、用户偏好、whatsapp的记录
木马窃取信息后,将信息发送到以下一个或者多个远程地址:
[HTTP://] asset.stealthgenie.com:8090/stealthgenie/uploa[删除]
[HTTP://] sync.stealthgenie.com:8090/stealt[删除]
[HTTP://] sync.stealthgenie.com:8090/stealthgenie/activat[删除]
[HTTP://] alert.stealthgenie.com:8090/stealthgenie/alert[删除]
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒雅虎邮箱类钓鱼网站:http://vervoortbvba.be/dtrade/;危害:骗取用户帐号及密码信息。
假冒购物类钓鱼网站:http://ku.wineclub.net.cn/product/1096.html;危害:虚假购物信息,骗取用户钱财。
假冒医药类钓鱼网站:http://sz0756.com/;危害:虚假医药信息,诱骗用户汇款。
假冒淘宝类钓鱼网站:http://tbao.fgsst.info/lo.asp?submit.x=121&submit.y=8;危害:虚假信息,骗取用户账号及密码信息。
假冒建设银行类钓鱼网站:http://www.huaxiang888px.com/ccccbb.asp;危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供