Backdoor.Miras
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Miras是一个木马,它在受感染计算机上打开一个后门并窃取信息。
木马执行时,会创建以下文件:
%System%\wbem\raswmi.dll
木马创建下列注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\raswmi\Parameters\ServiceDll=C:\WINDOWS\System32\wbem\raswmi.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\raswmi\Type= 0x00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\raswmi\Start= 0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\raswmi\ErrorControl=0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\raswmi\DisplayName= WMI service provider
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\raswmi\Description=WMI service client
木马计算磁盘剩余空间,并将信息保存到以下文件:
[RANDOM NUMBER]lu.tmp
然后,木马在受感染计算机上打开一个后门,连接到以下远程地址:
microsoften.com
木马还会窃取以下信息,并发送到C&C服务器:
默认计算机语言、操作系统版本、计算机名、用户名
木马还可以执行以下操作:
终止进程、执行文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Rincux
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Rincux是一个木马,它在受感染的计算机上打开一个后门,并下载其他恶意文件到计算机。
木马执行时,会创建以下文件:
%System%\vmware-vmx.exe
木马会创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test My Test 1.0\Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test My Test 1.0\Description = This is Windows Test My Test Server 1.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test My Test 1.0\DisplayName = Windows Test My Test Server 1.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test My Test 1.0\ImagePath = %System%\vmware-vmx.exe
木马会连接到下面的远程地址:
123.1.159.113
43.252.230.85
qq224015.3322.org
然后,木马还可以执行以下操作:
下载并执行文件、利用受感染计算机进行DDOS攻击
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Tubrosa
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Tubrosa是一个木马,它在受感染的计算机上下载其他恶意文件,并执行其他恶意操作。
该木马必须由用户执行。
木马执行时,会创建以下文件:
C:\Documents and Settings\All Users\Application Data\Macromedia\Flash Player\#SharedObjects\3Z7DKHU2\s.ytimg.com\soundData.sol
C:\Documents and Settings\All Users\Application Data\Macromedia\Flash Player\#SharedObjects\3Z7DKHU2\www-cdn.jtvnw.net\jtv_settings.sol
C:\Documents and Settings\All Users\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#s.ytimg.com\settings.sol
C:\Documents and Settings\All Users\Application Data\sychost\appdomain
木马会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\WindowsNT = C:\Documents and Settings\All Users\Application Data\sychost\appdomain.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\HideZoneInfoOnProperties = 0x0000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION\[APPLICATION NAME] = 7000
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\[APPLICATION NAME} = 7000
该木马为IE安装flashplayer。
然后,木马创建以下文件:
C:\Documents and Settings\All Users\Application Data\sychost\appdomain.exe
appdomain.exe包含一个生成器和看门狗程序。
appdomain.exe在计算机重启后,自动添加到注册表中。
appdomain.exe可以删除以下文件,并在每次重启时重新启动:
C:\Documents and Settings\All Users\Application Data\sychost\sychost.exe
sychost.exe可以执行以下操作:
自动观看YouTube.com上的视频,并隐藏、从[http://]loserboy.in/me/video下载播放列表、修改电脑的音量设置、检查appdomain.exe是否已安装并已注册
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒支付宝类钓鱼网站:http://viptaoa.aarxa.com/a1.asp;危害:骗取用户卡号及密码信息。
假冒爸爸去哪儿类钓鱼网站:http://bbkee.cc/;危害:虚假中奖信息,诱骗用户汇款。
假冒建设银行类钓鱼网站:http://8600game.com/ccb.asp;危害:骗取用户卡号及密码信息。
假冒中国好声音类钓鱼网站:http://hycws.cc/;危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://xiv8r.47267.whyweliveit.org/;危害:骗取用户卡号和密码信息。
挂马网站提示:
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供