病毒预报(20141124-20141130)

Trojan.Swort

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Swort是一个木马，它在受感染计算机上下载并执行恶意文件。

该木马必须手动执行。

一旦运行，该木马可以下载并执行任意可执行代码。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Toraldrop

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Toraldrop是一个木马，它在受感染计算机上生成其他木马。

一旦执行，该木马会创建以下文件：

%Temp%\_ms[RANDOM DIGITS].bat

然后，木马生成并运行一个可执行文件。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Kargatroj

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Kargatroj是一个木马，它在受感染计算机上打开一个后门，并窃取信息。

木马执行时，会创建下列文件：

%Windir%\webconfig\[FILE NAME]

%Windir%\webconfig\svr\

%Windir%\webconfig\Ret\

%Windir%\webconfig\Ret\ZZ[FILE NAME]

%Windir%\webconfig\svr\Usblog_UDISK.log

%Windir%\webconfig\svr\Filerec.log

%Windir%\~bandu.tmp

%System%\usbprotect.exe

%System%\secur16.dll

%RemovableDrive%:\[FILE NAME].exe

%RemovableDrive%:\New folder.exe

然后，木马创建以下注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt = 0x00000001

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 0x00000000

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AppMgmt\Start = 0x00000002

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue = 0x00000000

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AppMgmt\Parameters\ServiceDll = %System%\secur16.dll

HKEY_CLASSES_ROOT\exefile\NeverShowExt = 0

该木马会隐藏以下信息：

已知扩展名、系统文件、隐藏文件

木马窃取USB驱动器上的.doc文件和.xls文件。

木马将窃取的文件保存到以下位置：

%Windir%\webconfig\

木马定期加密窃取的文件，并将文件写入到以下位置，并在写入后，删除“%Windir%\webconfig\”目录下的原文件：

%Windir%\webconfig\Ret\ZZ[FILE NAME]

木马通过443端口连接以下地址：

82.69.69.47

76.65.207.218

58.137.153.115

109.169.82.215

199.192.157.247

changsun35.MrsLove.com

木马可以使用以下命令：

发送文件、接受文件、系统休眠、从URL下载文件、执行根命令、执行命令，并将结果发送给攻击者

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

钓鱼网站提示：

假冒支付宝类钓鱼网站：http://103.241.48.213/taobao_com/a1.asp；危害：虚假退款信息，诱骗用户卡号及密码信息。

假冒购物类钓鱼网站：http://lu.hiclean.com.cn/；危害：虚假购物信息,骗取用户钱财。

假冒医药类钓鱼网站：http://333.shop058.com/plus/list.php?tid=501；危害：虚假医药信息，诱骗用户汇款。

假冒爸爸去哪儿类钓鱼网站：http://yixinzn.com/；危害：虚假中奖信息，诱骗用户汇款。

假冒工商银行类钓鱼网站：http://103.228.111.128/；危害：骗取用户卡号及密码信息。

挂马网站提示：

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org

请勿打开类似上述网站，保持计算机的网络防火墙打开。