Downloader.Sesafer
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Downloader.Sesafer是一个木马,它在受感染计算机上下载其他恶意文件。
木马执行时,会生成以下文件:
%ProgramFiles%\pcreg\install32.xml
%ProgramFiles%\pcreg\install64.xml
%ProgramFiles%\pcreg\installXP.xml
%ProgramFiles%\pcreg\install_service.xml
%ProgramFiles%\pcreg\msvcr100.dll
%ProgramFiles%\pcreg\pcreg.exe
%ProgramFiles%\pcreg\service.exe
%Temp%\file_[RANDOM DIGITS].exe
木马会检查以下文件是否存在:
%ProgramFiles%\pcreg\service.exe
如果文件不存在,木马会从下列远程地址下载:
[http://]www.chatzum.com/report/downlo[REMOVED]
[http://]d2sci4fopfy9a2.cloudfront.net/SERVICE/servi[REMOVED]
木马创建具有下面属性的服务:
Display Name: pcregservice Service
Image Path: %ProgramFiles%\pcreg\pcreg.exe
Startup Type: Automatic
木马创建下列注册表登记上述服务:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcregservice
然后,连接到以下远程地址:
[http://]www.shieldsoft.com/rep[REMOVED]
[http://]www.shieldsoft.com/report/getpack[REMOVED]
木马从上述远程地址得到一个URL,并从URL中下载并执行以下文件:
%Temp%\file_[RANDOM DIGITS].exe
%Temp%\file_to_run55[RANDOM DIGITS].exe
木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\0000\Control\NewlyCreated = 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\0000\Control\ActiveService = pcregservice
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\0000\Service = pcregservice
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\0000\Legacy = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\0000\ConfigFlags = 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\0000\Class = LegacyDriver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\0000\ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\0000\DeviceDesc = pcregservice Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCREGSERVICE\NextInstance = 1
木马还修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ConsentPromptBehaviorAdmin = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ConsentPromptBehaviorUser = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations\LowRiskFileTypes = .zip;.rar;.nfo;.txt;.exe;.bat;.com;NaNd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.log;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Attachments\SaveZoneInformation = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Attachments\HideZoneInfoOnProperties = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\HideSCAHealth = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideSCAHealth = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypes = .zip;.rar;.nfo;.txt;.exe;.bat;.com;NaNd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.log;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\SaveZoneInformation = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\HideZoneInfoOnProperties = 1
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Bitterbug
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Bitterbug是一个木马,它在受感染计算机上打开一个后门,并下载文件,木马还窃取计算机上的信息。
木马执行时,会创建以下文件:
%UserProfile%\Application Data\execute.exe
%UserProfile%\Application Data\pathfile.txt
%UserProfile%\Application Data\tempfile.txt
%UserProfile%\Application Data\version.txt
木马会在受感染计算机上打开一个后门,并连接到以下地址:
[http://]199.91.173.43/fetch_updat[REMOVED]
木马还可以执行以下活动:
下载并执行远程文件、上传受感染计算机上的数据文件到远程服务器
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Scartibro
警惕程度 ★★★
影响平台:Android
Android.Scartibro是一个木马,它加密受感染的设备,并要求用户支付购买解密文件。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.android.locker
Name: Norton Internet Security
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
防止设备休眠、获取当前或最近运行任务的信息、允许应用程序禁用键盘锁、自动启动、打开网络连接、写入到外部存储设备、检查手机当前状态、网络访问信息
3.安装
4.功能:
该木马执行时,会模拟防病毒扫描,锁定手机,并要求用户支付赎金:
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒中国好声音类钓鱼网站:http://www.zjkvsp.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://bxicbc.com/;危害:骗取用户卡号及密码信息。
假冒出彩中国人类钓鱼网站:http://cczgrj.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒网购类钓鱼网站:http://shu.guangbiaou.sh.cn/lzn/;危害:虚假交易,诱骗用户钱财。
假冒淘宝中奖类钓鱼网站:http://www.kwscg.com/;危害:虚假中奖信息,诱骗用户汇款。
挂马网站提示:
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供