病毒预报(20141027-20141102)

Backdoor.Cakwerd
警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Cakwerd是一个木马，它在受感染计算机上打开一个后门。

木马执行时，会创建以下文件：

[PATH TO FILE]\test.exe

[PATH TO FILE]\test.py

[PATH TO FILE]\scsl.py

%ProgramFiles%SCServ.exe

[PATH TO FILE]\_wpcap.bat

%System%\drivers\npf.sys

%System%\Packet.dll

%System%\wpcap.dll

然后，木马通过TCP的9999端口连接到以下地址：

[http://]live.cakverd.com

[HTTP：//] usaserverav.dyndns.tv

木马还可以执行以下恶意活动：

打开一个后门、运行shell命令、下载并执行文件、利用受感染计算机进行分布式拒绝服务DDoS攻击

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Tepmim

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Tepmim是一个木马，它在受感染计算机上打开一个后门。

木马执行时，会创建以下文件：

%Temp%\svohost.bat

%Temp%\0ffice1x\WINWORD.EXE

%Temp%\0ffice1x\CACHED\[COMPUTER NAME]_C_[VOLUME SERIAL NUMBER].DIR

%Temp%\install.reg

%Temp%\BACNK.TMP

%Temp%\TEMPX.CPL

%Temp%\svehost.exe

%Windir%\system32\nppmgmt.dll

%SystemDrive%\C.lnk

%SystemDrive%\recycler\Temp\TEMPX.CPL

%DriveLetter%\TEMPX.CPL

然后，木马创建以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%SystemDrive%\WINDOWS\System32\svchost.exe = %SystemDrive%\WINDOWS\System32\svchost.exe:*:Enabled:DNS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO\0000\Service = RasAuto

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO\0000\Legacy = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO\0000\DeviceDesc = Remote Access Auto Connection Manager

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO\0000\ConfigFlags = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO\0000\ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO\0000\Class = LegacyDriver

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO\NextInstance = 1

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\WordTray = %Temp%\0ffice1x\WINWORD.EXE

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-1085031214-113007714-1417001333\000003EE\@ = expand:?\00?

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\iusr_debug\@ = 3ee

然后，木马修改以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto\Parameters\ServiceDll = expand:%Windir%\system32\nppmgmt.dll

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto\Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\forceguest = 0

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-1085031214-113007714-1417001333\@ = 5

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\00000221\C = [HEXADECIMAL VALUE]

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\00000220\C = [HEXADECIMAL VALUE]

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\F = [HEXADECIMAL VALUE]

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\@ = 7

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Groups\00000201\C = [HEXADECIMAL VALUE]

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\F = [HEXADECIMAL VALUE]

木马通过TCP的443端口连接到以下远程地址：

webmail.india-videoer.com

木马还可以在受感染计算机上执行以下操作：

执行cmd、枚举驱动器和文件、移动或删除文件、上传和下载文件、创建进程、收集系统信息

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Deltatoolbar

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Deltatoolbar是一个木马，它在受感染计算机上修改浏览器主页，并在浏览器中安装插件。

该木马通过其他软件捆绑自动安装到计算机。

木马执行时，会创建以下文件：

%SystemDrive%\Documents and Settings\All Users\Application Data\Delta

%SystemDrive%\Documents and Settings\All Users\Application Data\Delta\sqlite3.dll

%ProgramFiles%\Delta

%ProgramFiles%\Delta\delta

%ProgramFiles%\Delta\delta\1.8.24.5

%ProgramFiles%\Delta\delta\1.8.24.5\bh

%ProgramFiles%\Delta\delta\1.8.24.5\bh\delta.dll

%ProgramFiles%\Delta\delta\1.8.24.5\deltaApp.dll

%ProgramFiles%\Delta\delta\1.8.24.5\deltaEng.dll

%ProgramFiles%\Delta\delta\1.8.24.5\deltasrv.exe

%ProgramFiles%\Delta\delta\1.8.24.5\deltaTlbr.dll

%ProgramFiles%\Delta\delta\1.8.24.5\uninstall.exe

%ProgramFiles%\Mozilla Firefox

%ProgramFiles%\Mozilla Firefox\extensions

%ProgramFiles%\Mozilla Firefox\searchplugins

然后，木马创建以下注册表项：

HKEY_CLASSES_ROOT\AppID\escort.DLL\AppID = {09C554C3-109B-483C-A06B-F14172F1A947}

HKEY_CLASSES_ROOT\AppID\escortApp.DLL\AppID = {D7EE8177-D51E-4F89-92B6-83EA2EC40800}

HKEY_CLASSES_ROOT\AppID\escortEng.DLL\AppID = {B12E99ED-69BD-437C-86BE-C862B9E5444D}

HKEY_CLASSES_ROOT\AppID\escorTlbr.DLL\AppID = {4E1E9D45-8BF9-4139-915C-9F83CC3D5921}

HKEY_CLASSES_ROOT\AppID\esrv.EXE\AppID = {39CB8175-E224-4446-8746-00566302DF8D}

HKEY_CLASSES_ROOT\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}\default = escort

HKEY_CLASSES_ROOT\AppID\{39CB8175-E224-4446-8746-00566302DF8D}\default = esrv

HKEY_CLASSES_ROOT\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}\default = escorTlbr

HKEY_CLASSES_ROOT\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}\default = escortEng

HKEY_CLASSES_ROOT\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}\default = escortApp

HKEY_CURRENT_USER\Software\Delta\delta\cmndLn =

HKEY_CURRENT_USER\Software\Delta\delta\lastB = about:blank

HKEY_CURRENT_USER\Software\Delta\delta\tlbrSrchUrl =

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\escort.DLL\AppID = {09C554C3-109B-483C-A06B-F14172F1A947}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\escortApp.DLL\AppID = {D7EE8177-D51E-4F89-92B6-83EA2EC40800}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\escortEng.DLL\AppID = {B12E99ED-69BD-437C-86BE-C862B9E5444D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\escorTlbr.DLL\AppID = {4E1E9D45-8BF9-4139-915C-9F83CC3D5921}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\esrv.EXE\AppID = {39CB8175-E224-4446-8746-00566302DF8D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}\default = escort

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D}\default = esrv

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}\default = escorTlbr

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}\default = escortEng

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}\default = escortApp

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\d\default = escrtAx Object

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\d\CLSID\default = {86838207-681D-469D-9511-D0DCC6F19F9B}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\d\CurVer\default = d

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85}\AppName = deltasrv.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85}\AppPath = C:\Program Files\Delta\delta\1.8.24.5

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85}\Policy = dword:00000003

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{82E1477C-B154-48D3-9891-33D83C26BCD3} = Delta Toolbar

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}\default = delta Helper Object

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}\NoExplorer = 1

HKEY_CLASSES_ROOT\d\default = escrtAx Object

HKEY_CLASSES_ROOT\d\CLSID\default = {86838207-681D-469D-9511-D0DCC6F19F9B}

HKEY_CLASSES_ROOT\d\CurVer\default = d

然后，木马创建以下注册表子项：

HKEY_CLASSES_ROOT\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

HKEY_CLASSES_ROOT\CLSID\{261DD098-8A3E-43D4-87AA-63324FA897D8}

HKEY_CLASSES_ROOT\CLSID\{4FCB4630-2A1C-4AA1-B422-345E8DC8A6DE}

HKEY_CLASSES_ROOT\CLSID\{82E1477C-B154-48D3-9891-33D83C26BCD3}

HKEY_CLASSES_ROOT\CLSID\{86838207-681D-469D-9511-D0DCC6F19F9B}

HKEY_CLASSES_ROOT\CLSID\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}

HKEY_CLASSES_ROOT\CLSID\{E97A663B-81A6-49C5-A6D3-BCB05BA1DE26}

HKEY_CLASSES_ROOT\delta.deltaappCore.1

HKEY_CLASSES_ROOT\delta.deltaappCore

HKEY_CLASSES_ROOT\delta.deltaappCore

HKEY_CLASSES_ROOT\delta.deltadskBnd.1

HKEY_CLASSES_ROOT\delta.deltadskBnd

HKEY_CLASSES_ROOT\delta.deltaHlpr.1

HKEY_CLASSES_ROOT\delta.deltaHlpr

HKEY_CLASSES_ROOT\escort.escortIEPane.1

HKEY_CLASSES_ROOT\escort.escortIEPane

HKEY_CLASSES_ROOT\esrv.deltaESrvc.1

HKEY_CLASSES_ROOT\esrv.deltaESrvc

HKEY_CLASSES_ROOT\TypeLib\{39CB8175-E224-4446-8746-00566302DF8D}

HKEY_CLASSES_ROOT\TypeLib\{4599D05A-D545-4069-BB42-5895B4EAE05B}

HKEY_CLASSES_ROOT\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}

HKEY_CLASSES_ROOT\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{261DD098-8A3E-43D4-87AA-63324FA897D8}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FCB4630-2A1C-4AA1-B422-345E8DC8A6DE}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82E1477C-B154-48D3-9891-33D83C26BCD3}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86838207-681D-469D-9511-D0DCC6F19F9B}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E97A663B-81A6-49C5-A6D3-BCB05BA1DE26}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\delta.deltaappCore.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\delta.deltaappCore

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\delta.deltadskBnd.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\delta.deltadskBnd

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\delta.deltaHlpr.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\delta.deltaHlpr

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\escort.escortIEPane.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\escort.escortIEPane

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\esrv.deltaESrvc.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\esrv.deltaESrvc

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{39CB8175-E224-4446-8746-00566302DF8D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4599D05A-D545-4069-BB42-5895B4EAE05B}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}

HKEY_LOCAL_MACHINE\SOFTWARE\Delta\delta

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\delta

HKEY_USERS\S-1-5-21-1316737702-3227248519-3113389456-500\Software\Delta\delta

木马还可以执行以下操作：

更改浏览器主页为[www].delta-search.com、在浏览器中安装插件、在主页和搜索结果页面上显示广告

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

钓鱼网站提示：

假冒淘宝类钓鱼网站：http://122.10.20.199/refund.html；危害：骗取用户账号及密码信息。

假冒购物类钓鱼网站：http://wap.lawsup.cn/；危害：虚假购物信息,骗取用户钱财。

假冒医药类钓鱼网站：http://bem.jlyjmy.com/Maincn.asp；危害：虚假医药信息，诱骗用户汇款。

假冒中国好声音类钓鱼网站：http://www.haohhx.com/；危害：虚假中奖信息，骗取用户钱财。

假冒建设银行类钓鱼网站：http://www.xiongdi211px.com/ccccbb.asp；危害：骗取用户卡号及密码信息。

挂马网站提示：

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org

请勿打开类似上述网站，保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供