病毒预报(20141201-20141207)

发布时间:2014-12-02浏览次数:1482

Backdoor.Readomesa

警惕程度  ★★★★

影响平台:Win 9X/ME/NT/2000/XP/Server  2003

Backdoor.Readomesa是一个木马,它在受感染计算机上打开一个后门。

该木马执行时,会创建以下文件:

%Temp%\IPX[THREE DIGIT  NUMBER].TMP\readme.txt

%Temp%\IPX[THREE DIGIT  NUMBER].TMP\libssp-0.dll

%Temp%\IPX[THREE DIGIT  NUMBER].TMP\ctfmon.exe

%AllUsersProfile%\Application  Data\readme.txt

%AllUsersProfile%\Application  Data\libssp-0.dll

%AllUsersProfile%\Application  Data\ctfmon.exe

%UserProfile%\acpi64.cnm

%UserProfile%\xupdater.exe

然后,木马创建以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup1  = rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 \%Temp%\IXP[THREE DIGIT  NUMBER].TMP\\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0  = rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 \%Temp%\IXP[THREE DIGIT  NUMBER].TMP\\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pidgin  = %AllUsersProfile%\Application Data\ctfmon.exe

该木马打开一个后门,允许攻击者通过以下协议进行DDoS攻击:

HttpTCP、UDP

然后,木马连接到以下地址,进行自我的更新:

[http://]ninekobe.com/ad/[REMOVED]

预防和清除:

不要点击不明网站打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Sevenser

警惕程度  ★★★★

影响平台:Win 9X/ME/NT/2000/XP/Server  2003

Trojan.Sevenser是一个木马,它在受感染计算机上生成其他木马。

一旦执行,该木马会创建以下恶意代码文件:

%Temp%\svchosvt.exe

预防和清除:

不要点击不明网站打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Sofacy

警惕程度  ★★★★

影响平台:Win 9X/ME/NT/2000/XP/Server  2003

Trojan.Sofacy是一个木马,它在受感染计算机上下载潜在的恶意文件。

木马执行时,会连接到以下远程地址:

[http://]scanmalware.info/ch[REMOVED]

[http://]malwarecheck.info/ch[REMOVED]

[http://]adawareblock.com/ch[REMOVED]

[http://]checkmalware.org/ch[REMOVED]

然后,木马收集以下信息,发送给远程攻击者:

计算机名、操作系统版本、进程列表,包括名称、ID和路径

然后,木马从远程地址下载恶意文件并执行。

预防和清除:

不要点击不明网站打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能关闭允许远程连接电脑的功能。安装最新的系统补丁。



钓鱼网站提示:

假冒支付宝类钓鱼网站:http://cfdaytdy.tk/bbb/bbb/bbb/code/cxk.asp;危害:虚假退款信息,诱骗卡号及密码信息。

假冒购物类钓鱼网站:http://www.szsjzm.com/;危害:虚假购物信息,骗取用户钱财。

假冒医药类钓鱼网站:http://www.yayunmei.com/z/xiong/index.htm?baidu;危害:虚假医药信息,诱骗用户汇款。

假冒奔跑吧兄弟类钓鱼网站:http://www.zjwstv.com/;危害:虚假中奖信息,诱骗用户汇款。

假冒工商银行类钓鱼网站:http://23.226.65.108/;危害:骗取用户卡号及密码信息。



挂马网站提示:

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org


请勿打开类似上述网站,保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供