Backdoor.Goldsun
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Goldsun是一个木马,它在受感染计算机上打开一个后门。
木马执行时,会创建以下文件:
%System%\schmup.sys
%System%\spxroute.tmp
木马还会创建以下文件夹:
%System%\Plugins
木马创建下列注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{76891FC6-C786-11DD-CE70-0800B7B60147}\000\Indeo = 0
然后,连接到以下远程地址:
avast.avstore.com.tw
212.118.243.118
216.52.184.230
218.16.121.32
61.145.112.78
63.251.83.36
64.74.96.242
69.251.142.1
木马还会收集以下信息:
主机名、MAC地址、IP地址、操作系统版本、语言设置、恶意软件版本、系统目录、可用的驱动器列表
木马还可以执行以下操作:
创建一个远程shell、下载和搜索文件、结束自身进程
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Blueso
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Blueso是一个木马,它将恶意代码注入到当前运行的进程中。
木马将自己作为一个自解压文件被下载到计算机。
木马执行时,会创建以下文件:
%UserProfile%\[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS].exe
%UserProfile%\[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME ONE].[THREE RANDOM LETTERS]
%UserProfile%\[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME TWO].[THREE RANDOM LETTERS]
%UserProfile%\[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME THREE].[THREE RANDOM LETTERS]
%UserProfile%\[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME FOUR].[THREE RANDOM LETTERS]
%UserProfile%\[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME FIVE].[THREE RANDOM LETTERS]
木马会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\[RANDOM LETTERS AND NUMBERS] = %UserProfile%\[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME FIVE].[THREE RANDOM LETTERS]
然后,木马执行以下命令,将恶意代码W32.Spyrat注入到IE进程中:
%UserProfile%\[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS].exe
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Trogle
警惕程度 ★★★
影响平台:Android
Android.Trogle是一个蠕虫,它窃取受感染设备上的信息。
该蠕虫可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.example.xxshenqi, com.example.com.android.trogoogle
APK: com.android.Trogoogle.apk, sz.apk, XXshenqi.apk
2.权限
当被安装了蠕虫,它要求一些权限来执行以下操作:
发送短信、有关网络访问信息、读取设备上的联系人数据、创建新的联系人数据、监控收到的短信、创建新的短信、打开网络连接、自动启动
3.安装
一旦安装完毕,蠕虫伪装显示为诺顿网络安全特警应用程序图标:
4.功能:
该蠕虫执行时,会自动通知攻击者:APK已经被成功安装到设备上。
该蠕虫会自动发送以下短信来传播自身,该消息包含以下APK下载的链接:
[http://]722q.com/sz.[REMOVED]
[http://]cdn.yyupload.com/down/4279193/XXshen[REMOVED]
该蠕虫还可以执行以下操作:
窃取个人身份信息、发送电子邮件、发送短信、监控短信
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。
钓鱼网站提示:
假冒中国好声音类钓鱼网站:http://www.szuwhh.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://www.icbc562w.pw/icbc/index.htm;危害:骗取用户卡号及密码信息。
假冒爸爸去哪儿类钓鱼网站:http://bbbqerqq.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒淘宝类钓鱼网站:http://zhangtiannihao.09.wm4p.com/Login.asp;危害:骗取用户账户及密码信息。
假冒医药类钓鱼网站:http://www.zgzjwk.tk/lbfzt/;危害:虚假医药信息,诱骗用户钱财。
挂马网站提示:
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供