计算机病毒预报（2014年07月21日至2014年07月27日）

ackdoor.Typideg

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Typideg是一个木马，它在受感染计算机上打开一个后门，并可以下载远程文件和窃取信息。

木马执行时，创建下列注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\conime = [THREAT PATH]

木马打开一个后门，然后会连接到以下远程地址：

[http://]98.188.111.244/home/inde[REMOVED]

[http://]wwap.publiclol.com/home/inde[REMOVED]

[http://]59.0.249.11/home/inde[REMOVED]

[http://]198.209.212.82/home/inde[REMOVED]

然后，木马还可以执行以下操作：

下载并执行远程文件、从受感染的电脑上传文件

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Kivars

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Kivars是一个木马，它在受感染计算机上打开一个后门。

木马将自己伪装成一个word文档。

木马执行时，创建下列文件：

%System%\iprips.dll

%System%\winbs2.dll

%System%\klog.dat

%Temp%\NO9907HFEXE.doc

然后，创建以下属性的服务：

Display Name: RIP Listening

Startup Type: Automatic

创建以下注册表子项登记以上服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

木马还创建下列注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Type = 120

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters\ServiceDll = %System%\iprips.dll

木马会从受感染计算机收集以下信息：

主机名、IP地址、用户名、恶意软件版本、当前进程ID、硬盘卷序列号、最近浏览的目录、桌面目录路径、我的文档目录路径、操作系统默认语言环境、键盘布局

木马将上述信息发送到以下远程地址：

gsndomain.ddns.us

markettaiwan.serveuser.com

木马在受感染计算机上打开一个后门，允许攻击者执行以下操作：

模拟键盘输入、模拟鼠标点击、获取显示器设置、结束进程、改变窗口的文本、显示和隐藏窗口、发送消息、删除和重命名文件、执行文件、删除文件和文件夹、创建文件夹、读取文件、下载和上传文件、截图、枚举文件、列出可用的驱动器、击键记录、从受感染计算机删除木马

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Selfmite

警惕程度 ★★★

影响平台：Android

Android.Selfmite是一个木马，它窃取设备上的信息。

该木马可能作为一个安装包被下载，它具有以下特点：

1．其中的包名如下：

Package name: com.gmail.xpack

APKs: Raiffeisen.apk, ZKB.apk

Version: 1.0

2．权限

当被安装了木马，它要求一些权限来执行以下操作：

自动启动、发送短信、读取设备上的短信、打开网络连接、检查手机当前状态、网络接入的位置信息、网络访问信息

3．安装

一旦安装完毕，木马伪装显示为合法的银行应用程序图标。

4．功能：

该木马伪装成一个合法的银行应用程序，然后，该木马可以窃取银行与用户间身份验证的详细信息

预防和清除：

不要下载不明渠道的APP，尽可能使用正规APP商店来获取安装包。若非必要，尽量不要root，获取系统权限

钓鱼网站提示：

假冒充值类钓鱼网站：http://www.023jia.cn/v/TencentQQcom；危害：虚假充值信息，诱骗用户汇款。

假冒网游交易类钓鱼网站：http://frontsql.cn/9as.html；危害：虚假交易信息，诱骗用户汇款。

假冒中国好声音类钓鱼网站：http://www.bbercw1.com/；危害：虚假中奖信息，诱骗用户汇款。

假冒支付类类钓鱼网站：http://23.80.90.107/a1.asp；危害：骗取用户账户及密码信息。

假冒工商银行类钓鱼网站：http://www.icbcghxindai.com/；危害：骗取用户账户及密码信息。

挂马网站提示：

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org

请勿打开类似上述网站，保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供