计算机病毒预报（2014年08月05日至2014年08月10日）

Trojan.Pittyger

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Pittyger是一个木马，它在受感染计算机上打开一个后门，窃取信息，并可以下载其他恶意文件。

木马执行时，创建以下文件：

%Temp%\~awinhp.tmp

[THREAT LOCATION]\.txt

%Temp%\ldwc.bat

%Temp%\verclsid.exe

然后，木马创建下列注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe, [THREAT LOCATION]\[THREAT FILE NAME].exe

木马会连接到以下一个或多个C&C服务器：

zeng.skypetm.com.tw

aniu.skypetm.com.tw

sophos.skypetm.com.tw

木马搜集以下信息：

主机名、用户名、操作系统和补丁信息、TCP端口列表、安装服务和软件的信息、IP地址和以太网信息

木马还可以执行以下操作：

创建一个名为“PittyTiger”的互斥体、打开一个后门、更新C&C服务器列表、上传和下载文件

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。
Linux.Netweird

警惕程度 ★★★★

影响平台：Linux

Linux.Netweird是一个木马，它在受感染计算机上打开一个后门，并窃取信息，还可以下载和执行远程文件。

木马执行时，创建下列文件：

$HOME/WIFIADAPT

$HOME/.m8d.dat

然后，木马打开一个后门，并通过4141端口连接到以下远程服务器：

212.7.208.65

木马还可以执行以下操作：

搜索，复制，删除，执行和重命名文件、列出可用的驱动器、进程列表、创建目录、下载和上传文件、获取系统信息，包括操作系统版本，计算机名，用户名，存储器状态，环境变量和当前进程ID、结束进程、模拟按键和鼠标点击、记录击键、获取屏幕截图、枚举打开的窗口、更新和删除自身、窃取保存在浏览器中的用户凭据

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。
Linux.Kaiten

警惕程度 ★★★★

影响平台：Linux

Linux.Kaiten是一个木马，它在受感染计算机上打开一个后门，允许远程攻击者执行其它恶意活动。

木马必须手动安装，并由用户执行。

木马执行时，会修改下列文件：

/etc/init.d/rc.local

木马打开一个后门，用IRCU端口（TCP6667）连接到以下地址:

ich-hab.sytes.net

木马还可以连接到以下地址：

mumumu.duckdns.org

mummuu.prxy8080.com

jappyupdate.servehttp.com

linuxupdatejappy.servepics.com

木马加入一个IRC频道，监听命令，还可以允许攻击者执行以下操作：

结束进程、下载并执行文件、更改客户端昵称、更改服务器、启用或禁用打包、利用SYN和UDP执行DDoS攻击、洪水攻击、发送UDP数据包、伪造IP地址、终止客户端

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

钓鱼网站提示：

假冒中国好声音类钓鱼网站：http://haosycsuic.com/；危害：虚假中奖信息，诱骗用户汇款。

假冒购物类钓鱼网站：http://www.changdouxc.com/；危害：虚假购物信息，诱骗用户钱财。

假冒网游交易类钓鱼网站：http://www.jdd66.com/；危害：虚假交易信息，骗取用户钱财。

假冒支付宝类类钓鱼网站：http://192.151.159.199/b1.asp；危害：骗取用户银行卡号及密码。

假冒工商银行类钓鱼网站：http://www.cnsubn.pw/images/login.html；危害：骗取用户银行卡号及密码。

挂马网站提示：

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org

请勿打开类似上述网站，保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供