计算机病毒预报（2014年10月13日至2014年10月19日）

Backdoor.Betwem
警惕程度 ★★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Betwem是一个木马，它在受感染计算机上打开一个后门，并可以下载更多地木马文件。
木马执行时，会连接到以下远程地址：
http://download.jj[REMOVED]k.com
http://tech.de[REMOVED]t.net
http://tools.ic[REMOVED]o.org
http://file.it[REMOVED]r.net
http://file.an[REMOVED]e.info
http://app.sa[REMOVED]b.info
木马还可以在受感染计算机上执行以下恶意活动：
下载并执行其它文件、运行shell命令
预防和清除：
不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Gofcbot
警惕程度 ★★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003Trojan.Gofcbot是一个木马，它在受感染的计算机上执行恶意活动。

木马执行时，会通过TCP的6004端口连接到以下地址：

cyrx.f3322.org

po.kfp.vicp.co

木马在受感染计算机上可以执行其它恶意活动。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Tinba.B

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Tinba.B是一个木马，它在受感染的计算机上下载文件，并窃取信息。

木马执行时，会复制自身到以下位置：

%UserProfile%\Application Data\[HEXADECIMAL VALUE]\bin.exe

木马创建注册表项，达到开机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[HEXADECIMAL VALUE] = %UserProfile%\Application Data\[HEXADECIMAL VALUE]\bin.exe

木马修改以下注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609 = 0

木马下载配置文件到以下位置：

%UserProfile%\Application Data\[HEXADECIMAL VALUE]\cfg.dat

%UserProfile%\Application Data\[HEXADECIMAL VALUE]\web.dat

木马将自身注入到以下进程：

winver.exe

explorer.exe

然后，木马HOOK以下API函数：

NtCreateUserProcess

NtCreateProcessEx

NtCreateThread

NtResumeThread

NtEnumerateValueKey

NtQueryDirectoryFile

木马通过以上API函数来监控网络流量和日志信息。

木马将收集的信息存储到以下地址：

%UserProfile%\Application Data\[HEXADECIMAL VALUE]\log.dat

%UserProfile%\Application Data\[HEXADECIMAL VALUE]\ntf.dat

木马还可以下载并执行以下文件：

%UserProfile%\Application Data\[HEXADECIMAL VALUE].exe

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁

钓鱼网站提示：

假冒爸爸去哪儿类钓鱼网站：http://yixinzn.com/；危害：虚假中奖信息，诱骗用户汇款。

假冒腾讯类钓鱼网站：http://rymvlxg.com/?AZIQG=95489；危害：骗取用户帐号及密码信息。

假冒医药类钓鱼网站：http://www.315oudifu.com/；危害：虚假医药信息，诱骗用户汇款。

假冒购物类钓鱼网站：http://wap.zzmie.com/；危害：虚假购物信息，诱骗用户汇款。

假冒工商银行类钓鱼网站：http://204.44.104.171/；危害：骗取用户卡号及密码信息。

挂马网站提示：

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org

请勿打开类似上述网站，保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供