网络社会征信网

计算机病毒预报(2013年03月18日至2013年03月24日)

发布日期:2013-03-25 18:45:18

Java.Minesteal
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
     Java.Minesteal是一个木马,它可以适用于WindowsMAC操作系统,它窃取网络游戏Minec
raft的登陆凭证。
    当木马执行时,它会从下列地址下载2个配置文件:
[http://]dl.dropbox.com/u/143985458/virs/apps[REMOVED]
[http://]dl.dropbox.com/u/143985458/virs/instal[REMOVED]
    上述的配置文件中,包含的插件下载URL和安装程序模块将被复制到以下位置:
Mac: $HOME/Library/LaunchAgents/SysJar
Windows: %UserProfile%\Application Data\SysJar
    该木马,然后创建以下文件和注册表项,以达到开机启动的目的:
Mac: 
$HOME/Library/LaunchAgents/SysJar.plist
$HOME/Library/LaunchAgents/[PLUGIN NAME].plist
Windows: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[PLUGIN NAME]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SysJar
    然后,它从下列地址下载一份电子邮件地址列表:
[http://]dl.dropbox.com/u/143985458/sendAdd[REMOVED]
    然后,该在受感染的计算机上,窃取Minecraft网游的登陆凭据,并将窃取的信息加密,然后
发送到下载的电子邮件地址列表中的一个邮件地址。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软
件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系
统补丁。 
Backdoor.Outflare
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Backdoor.Outflare是一个木马,它在受感染的计算机上打开一个后门,它还可以在受感染的计算机上执行DDoS攻击。
 
    该木马被执行时,会创建以下文件:
%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe
    它创建以下注册表项,以便开机启动自身:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Windows Appl
ication" = "%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe"
    它会创建下列互斥:
Global\sad_day
    该木马可能会注入到以下其中一个合法的进程:
iexplore.exerundll32.exe
    该木马可以连接到以下一个或多个网址,来测试连接:
engadget.search.aol.com/search
google.com
usatoday.com/search/results
yahoo.com/search
    该木马程序,在受感染的计算机上打开一个后门,并连接到以下域,用以获得命令:
7.vr.lt
ddaws.in
     它可能使受感染的计算上执行DDos攻击。
    当执行DDos攻击时,木马会从列表中选择一个用户代理字符串,来规避传统的服务器端DDos
击防护技术。
    该木马还可以在受感染的计算机上收集下列信息:
主机名、OS版本、用户名
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功
能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
Trojan.Sonso
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Trojan.Sonso是一个木马,它在受感染的计算机上打开一个后门。
 
    该木马是一个Chrome浏览器的扩展,它在Chrome浏览器运行时的后台运行。
    "chrome://extensions/""chrome://extensions-frame"打开时,它将浏览器重定向
到以下URL
[http://]goo.gl/Bn[REMOVED]
    Facebook被打开时,它在以下URL执行一个脚本:
[http://]goo.gl/Bn[REMOVED]
    然后,它执行役个GET请求到以下网址:
[http://]goo.gl/Bn[REMOVED]
    当扩展在第一次运行时,它在单独的浏览器窗口打开Facebookget.adobe.com/tr/flashp
layer,然后它在显示器上弹出一个提示框,用土耳其语显示以下信息,Flash播放器已经更新:
Adobe Flash Player G++ncellendi.
    接着,它会尝试连接到以下URL来执行其它恶意脚本:
[http://]goo.gl/3359O?[RANDOM NUMBER]
[http://]goo.gl/jFstw?[RANDOM NUMBER]
[http://]goo.gl/n9j3j?[RANDOM NUMBER]
    然后,它将自己以及从下面URL获得的一份图像,分享给用户的Facebook好友:
[http://]i1.ytimg.com/vi/4kr_LlfqEqo/mqdefa[REMOVED]
    该木马也可以连接以下网址:
[http://]whos.amung.us/widget/jaz8yyag[REMOVED]
[http://]widgets.amung.us/classic/37/3798[REMOVED]
[http://]sosyalpaket.com/ask[REMOVED]
[http://]sosyalpaket.com/youtu[REMOVED]
[http://]worldmedya.net/yeni[REMOVED]
预防和清除:    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。 
 
Trojan.Nawpers
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Trojan.Nawpers是一个木马,它修改受感染的计算机的主引导记录(MBR),还可以在计算机上窃取信息。
 
    为了达到针对性地攻击,它会利用漏洞的一部分。
    该木马被执行时,会创建下列注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"Service"
 = "DrvInstallDemo"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"Legacy"
 = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"Device
Desc" = "DrvInstallDemo"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"ConfigF
lags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"ClassGU
ID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\0000\"Class" 
= "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRVINSTALLDEMO\"NextInstance"
 = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet_SpacE_Settings\Connec
tions\"DefaultConnectionSettings" = "3c,00,00,00,11,00,00,00,09,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,04,00,00,00,1c,00,00,00,68,74,74,70,3a,2f,2f,31,37,32,2e,32,30,2e,39,35,
2e,35,30,2f,77,70,61,64,2e,64,61,74,f0,1c,d2,2a,ea,18,ce,01,01,00,00,00,0a,0a,01,21,00,00,
00,00,00,00,00,00"
HKEY_CURRENT_USER\Software\Microsoft\"systemkey" = "[PATH TO TROJAN]"
    它还感染计算机的主引导记录。
    然后,它可能从计算机上收集信息,然后将其发送到远程位置。
预防和清除:
  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。

专题活动