Backdoor.Citrat
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Citrat是一个木马,它在受感染计算机上打开一个后门。
木马执行时,会创建以下文件:
%System%\[RANDOM CHARACTERS OR NUMBERS].exe
%System%\[RANDOM CHARACTERS OR NUMBERS].dll
木马创建下列注册表,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load=%System%\[RANDOM CHARACTERS OR NUMBERS].exe
然后,连接到以下远程地址:
chanxe.avstore.com.tw
newb02.skypetm.com.tw
jackyandy.avstore.com.tw
木马还可以执行以下操作:
创建一个远程shell、下载和上传文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Backtor
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Backtor是一个木马,它在受感染计算机上打开一个后门。
木马将自己伪装成一个匿名浏览器的更新文件被下载到计算机。
木马执行时,会创建以下文件:
%UserProfile%\Application Data\Video\videodrv.exe
%UserProfile%\Application Data\Video\videodll.exe
%CurrentFolder%\vid.mkv
木马生成以下文件并进行安装:
%Temp%\torbrowser-install-3.6.3_en-US.exe
木马会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\videodrv=%UserProfile%\Application Data\Video\videodrv.exe
该木马连接到下面的远程地址:
silkroad6cebts64.onion
木马还可以执行以下活动:
屏幕截取、代入具体参数执行Netcat网络工具、代入具体参数执行cmd命令、上传,下载和执行文件、收集硬盘信息、重启计算机、自动更新
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Lapadin
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Lapadin是一个木马,它在受感染计算机上打开一个后门。
木马执行时,它在以下服务的注册表键值中选择一个来命名自身并注册:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs
木马执行时,会创建以下文件:
%System%\[SERVICE NAME]ex.dll
%System%\install.tmp
然后,该木马将%System%\[SERVICE NAME]ex.dll作为一个服务。
木马会创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[SERVICE NAME]\DisplayName = [SERVICE NAME]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[SERVICE NAME]\Parameters\ServiceDll = %System%\[SERVICE NAME]ex.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Description = Manages audio devices for Windows-based programs. If this service is stopped, audio devices and effects will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.
该木马连接到下面的远程地址:
technology.trendmicro.org.tw
ey.avstore.com.tw
chanxe.avstore.com.tw
jackyandy.avstore.com.tw
newb02.skypetm.com.tw
木马还可以执行以下活动:
创建一个远程shell、禁用鼠标和键盘、模拟鼠标和键盘交互、收集和替换剪贴板数据、整合驱动器上的空余空间、收集CPU信息、收集摄像头驱动程序信息、上传和下载文件、删除,移动,搜索文件、删除操作系统的事件日志、删除文件夹、删除自身
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒中国好声音类钓鱼网站:http://www.hsykwu.cc/;危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://wap.cibldtu.com/;危害:骗取用户卡号及密码信息。
假冒淘宝类钓鱼网站:http://103.231.185.253/refund.html;危害:骗取用户账户及密码信息。
假冒支付宝类钓鱼网站:http://23.104.206.75/a1.asp;危害:骗取用户卡号及密码信息。
假冒医药类钓鱼网站:http://www.gmanafricavip.com/;危害:虚假医药信息,诱骗用户钱财。
挂马网站提示:
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供