计算机病毒预报（2014年06月23日至2014年06月29日）

Backdoor.Klabcon

警惕程度 ★★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Klabcon是一个木马，它打开一个后门，并可能窃取计算机上的信息。

该木马利用微软的ActiveX控件远程代码执行漏洞传播(CVE-2012-0158)。

木马执行时，释放下列文件：

%ProgramFiles%\WinSys\NtSmart.exe

%ProgramFiles%\WinSys\nvsmartmax.dll

%ProgramFiles%\WinSys\Svchost.dll

%System%\MsTel32.dll

木马会在受感染计算机上打开一个后门，并尝试连接到以下域：

anakin.kmdns.net

rookie819.eicp.net

该木马可能从计算机搜集以下信息并发送给远程攻击者：

计算机名、操作系统信息、卷信息

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Fulario

警惕程度 ★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Fulario是一个木马，它在受感染计算机上打开一个后门，还可以窃取信息并下载其他恶意文件。

该木马执行时，会创建自身的副本：

%Temp% \CacheClean.exe

木马还会创建下列文件：

%Temp% \~Pro75C.DAT

木马打开一个后门，并可以连接到以下域之一：

[http://]23.245.228.128/jod/updat[REMOVED]

[http://]23.245.228.128/jod/info[REMOVED]

[http://]23.245.228.128/jod/info[REMOVED]

[http://]198.74.114.239/ys/info[REMOVED]

[http://]www.systeminfo.comule.com/sat/com[REMOVED]

[http://]www.systeminfo.comule.com/sat/inde[REMOVED]

[http://]198.55.103.148/kkd/updat[REMOVED]

[http://]198.55.103.148/kkd/info[REMOVED]

[http://]198.55.103.148/kkd/info[REMOVED]

木马还可以执行以下操作：

下载并执行远程文件、执行shell命令、收集并保存正在运行的进程到一个文件中（%Temp% \~Pro75C.DAT）、发送正在运行的进程信息到后门服务器、发送代理服务器地址给后门服务器

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Pandemiya

警惕程度 ★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Pandemiya是一个木马，它在受感染计算机上打开一个后门，还可以窃取信息。

该木马执行时，会创建以下文件：

C:\Documents and Settings\All Users\Application Data\[RANDOM CHARACTERS].exe

%System%\[RANDOM CHARACTERS].dll

木马创建注册表项：

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Control\Session Manager\AppCertDlls\"[RANDOM CHARACTERS]" = "%System%\[RANDOM CHARACTERS].dll"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "C:\Documents and Settings\All Users\Application Data\[RANDOM CHARACTERS].exe"

木马连接到以下远程地址：

[http://][REMOVED]/P4ND3M1CB00BF4C3/12[REMOVED]

[http://][REMOVED]/aWnBrokeQxPeKunljEDkm/biLwVtsypK[REMOVED]

木马还可以执行以下操作：

跟踪进程、识别新创建的进程、加载新的模块和插件、窃取web表单信息、屏幕截屏、重启计算机、收集cookie信息、收集系统信息、创建并执行文件、删除文件和目录、下载文件

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

 

 

钓鱼网站提示：

假冒中国好声音类钓鱼网站：http://www.inx.peamiexzgie.biz/yum.asp；危害：虚假中奖信息，诱骗用户汇款。

假冒网银在线类钓鱼网站：http://eakeooooc.dveccccm.pw/；危害：骗取用户银行卡号及密码。

假冒支付宝类钓鱼网站：http://23.80.248.144/b1.asp；危害：骗取用户银行卡号及密码。

假冒淘宝类钓鱼网站：http://www.gslct.com/；危害：骗取用户账户及密码信息。

假冒工商银行类钓鱼网站：http://www.icbcajc.tk/x.asp；危害：骗取用户银行卡号及密码

挂马网站提示：

http://jump.**666.org

http://wbm2000.**222.org

http://hj688.**222.org

http://cnhbwz.**222.org

http://tubeschina.**222.org

 

 

请勿打开类似上述网站，保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供