Trojan.Backoff
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Backoff是一个木马,它在受感染计算机上窃取机密信息。
木马执行时,会创建以下文件:
%AppData%\OracleJava\javaw.exe
%AppData%\nsskrnl
%AppData%\Local.dat
%AppData%\OracleJava\Log.txt
木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Windows NT Service = %AppData%\OracleJava\javaw.exe
木马还创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\identifier = [7 RANDOM CHARACTERS]
木马接受以下命令:
更新木马、终止进程和线程、卸载木马、下载木马并运行、上传日志文件
木马会窃取以下信息:
计算机名、用户名、Windows版本、跟踪数据
木马记录击键并保存信息到以下文件:
%AppData%\OracleJava\Log.txt
木马将跟踪到的数据保存到以下文件:
%AppData%\Local.dat
木马还连接到以下远程地址:
[http://]msframeworkx64.com/windows/updche[REMOVED]
[http://]msframeworkx86.com/windows/updche[REMOVED]
[http://]msframeworkx86.ru/windows/updche[REMOVED]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Poweliks
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Poweliks是一个木马,它在受感染计算机上执行恶意活动。
木马执行时,会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(default) = [ENCRYPTED JAVASCRIPT]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[NON-ASCII STRING] = rundll32.exe javascript:\\..\mshtml,RunHTMLApplication \;document.write(\\74script language=jscript.encode>\+(new%20ActiveXObject(\WScript.Shell\)).RegRead(\HKCU\\software\\microsoft\\windows\\currentversion\\run\\\)+\\74/script>\)
木马会检查受感染的计算机是否安装了PowerShell或者.NET frameworks,如果没有,它会从微软官网上下载并安装。
然后,木马从一个加密的Java脚本,解密一个PowerShell脚本,这个脚本用来执行二进制程序,该程序连接到以下远程地址:
178.89.159.34
178.89.159.35
木马还可以执行以下活动:
从远程攻击者处接受指令、删除该二进制程序
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Ascesso.C
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Ascesso.C是一个木马,它在受感染计算机下载其他恶意程序。
该木马可能通过垃圾邮件附件,或者由漏洞利用工具生成。
木马执行时,会创建以下文件:
C:\Documents and Settings\[USER NAME]\[RANDOM NAME].exe
%Temp%\[RANDOM NUMBER][RANDOM NUMBER][RANDOM NUMBER][RANDOM NUMBER].bat
木马创建以下注册表项,达到开机启动木马的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSConfig = C:\Documents and Settings\[USER NAME]\[RANDOM NAME].exe
然后,木马还可以执行以下操作:
将恶意代码注入到svchost.exe进程来隐藏自身、连接到123.45.47.89下载其他文件或更新木马自身、发送垃圾邮件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒中国好声音类钓鱼网站:http://www.kuysn.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://jiazhao.info/perbank/index.jsp;危害:骗取用户卡号及密码信息。
假冒兼职类钓鱼网站:http://www.2014zhuan.com/;危害:虚假兼职信息,诱骗用户钱财。
假冒购物类钓鱼网站:http://www.bag1234.com/;危害:虚假购物信息,诱骗用户钱财。
假冒建设银行类钓鱼网站:http://107.182.167.126/ccb.asp;危害:骗取用户卡号及密码信息。
挂马网站提示:
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供