Downloader.Filcout
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Downloader.Filcout是一个木马,它在受感染计算机上下载恶意文件。
木马执行时,创建下列注册表项:
HKEY_CURRENT_USER\Software\FileScout\"lsttm" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\filescout\"command" = ""[ORIGINAL FILE NAME]" /sc "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\"filescout" = "Show how to open this file"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\"command" = ""[ORIGINAL FILE NAME]" /open "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command\"fs_backup" = "%SystemDrive%\system32\rundll32.exe %SystemDrive%\system32\shell32.dll,OpenAs_RunDLL %1"
木马会连接到以下远程地址:
[http://]softango.com/file-ex[REMOVED]
[http://]updater-1341016669.us-east-1.elb.amazonaws.com/update/updat[REMOVED]
[http://]updater-1341016669.us-east-1.elb.amazonaws.com/update/updat[REMOVED]
[http://]updater-1341016669.us-east-1.elb.amazonaws.com/update/updat[REMOVED]
木马可能会下载并安装木马Trojan.Sefnit。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Rusms
警惕程度 ★★★
影响平台:Android
Android.Rusms是一个木马,它从受感染设备发送SMS消息,并窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.example.google.service
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
检查手机当前状态、发送短消息、读取设备上的短信、监视收到的短信、创建新的短信、打开网络连接、读取用户的联系人数据
3.安装
一旦安装完毕,木马隐藏自身的应用程序图标。
4.功能:
该木马连接到下列远程地址:
[http://]101.55.13.43/s[REMOVED]
该木马可以执行以下操作:
收集被感染设备上收到的短信、收集被感染设备上的联系人和电话号码、发送短信
木马还可以组织包含下列单词或数字的短信:
6279、1232111、mopay、boku、66245、bezahlcode、holyo、55498、55496、33235、46645
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
Android.Uupay
警惕程度 ★★★
影响平台:Android
Android.Uupay从被感染的设备窃取信息,并下载其他恶意软件。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package names:
com.android.googleservice
com.google.system.king
com.uucun4470.android.cms
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
监视收到的短信、发送短信、打开网络连接、读取用户联系人数据、APN设置、检查设备当前状态、修改设备当前状态、更改网络状态、收集有关执行任务的信息、安装软件包、删除安装包、重启、关于无线网络信息、读取手机设置、创建新的短信、读取设备上的短信、使手机震动
3.功能:
该木马连接到下列远程地址:
dns.[REMOVED].com
http://log6.[REMOVED].com
http://push7.[REMOVED].com
http://cloud6.[REMOVED].com
http://g.[REMOVED].cn/gamecms/wap/game/wyinfo/700144311000?channelId=12068000
该木马可以执行以下操作:
收集该设备信息,如IMEI号,设备ID等、收集APN列表,并强制使用特定APN信息、发送短信、阅读收到的短信、启用或禁用网络连接、下载并安装额外的应用程序
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
钓鱼网站提示:
假冒中国好歌曲类钓鱼网站:http://kbswk.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒爸爸回来了类钓鱼网站:http://rxqzsb.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒中国好声音类钓鱼网站:http://www.zghsyve.com/;危害:虚假中奖信息,诱骗用户汇款。
假冒工商银行类钓鱼网站:http://www.icbc226.com/;危害:骗取用户账户及密码信息。
假冒建设银行类钓鱼网站:http://www.11835d.tk/pay/jian/index.asp;危害:骗取用户账户及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供