网络社会征信网

计算机病毒预报(2013年04月1日至2013年04月7日)

发布日期:2013-04-01 15:43:25

Trojan.Jokra
警惕程度★★★ 

影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:

      Trojan.Jokra是一个木马,它试图损坏受感染的计算机的硬盘。

    当木马执行时,它会创建下列文件:

N%Temp%\alg.exe

%Temp%\conime.exe

%Temp%\AgentBase.exe

%Temp%\~v3.log

%Temp%\~pr1.tmp

    该木马具有Windows组件和Linux组件。

    Windows组件,有以下功能:

该木马运行%Temp%\AgentBase.exe作为一个进程

    该木马结束下列安全进程:

pasvc.execlisvc.exe

    该木马会创建一个线程,枚举物理驱动器并写入,直到驱动器末尾出现下列词中的一个:

PRINCPESHASTATI.PR!NCPES

    该木马试图写入所有的物理磁盘驱动器和可移动驱动器。

    Linux组件,有以下功能:

该木马会查找保存凭据在以下路径:

%UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml

    该木马会创建一个线程,生成一个bash脚本在以下地址:

%Temp%\~pr1.tmp

    该木马分析mRemote的配置文件中的连接信息。

    该木马上传SSH脚本,并以/tmp/cups方式在远程的Linux计算机上执行。

预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新

功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 

Backdoor.Salgorea

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

    Backdoor.Salgorea是一个木马,在受感染的计算机上打开一个后门。

 

    该木马可能通过垃圾邮件的附件传播,一般为.hta后缀的文件。

    该木马运行时,会复制自身到以下文件:

%Temp%\[RANDOM FILE NAME].exe

%UserProfile%\Application Data\Microsoft\Windows\AeroGlass.theme

%UserProfile%\Application Data\Microsoft\WindowsSidebar\sidebar.exe

    它创建一个部分修改的自身文件到一个临时文件夹,并以参数”--help”运行。

    该木马创建以下干净的文件并运行:

%Temp%\KeePass.exe

    该木马创建下列任务队列,并每天执行sidebar.exe文件:

%Windir%\Tasks\Sidebar.job

%Windir%\Tasks\Sidebar_[CURRENT USER].job

    该木马创建下列注册表项,达到开机启动的目的:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Sidebar" = "%Temp%\[RA

NDOM FILE NAME].exe"

    它也创建以下注册表项:

HKEY_CURRENT_USER\Software\Microsoft\Keyboard\"es-ec" = "[ENCODED DATA]"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Keyboard\"es-ec" = "[ENCODED DATA]"

HKEY_CURRENT_USER\Software\Microsoft\SideShow\Gadgets\"Language" = "[TIME OF INFECTION]"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\UC\"SP" = "[TIME OF INFECTION]"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SideBar\OemCustomTheme\"(De

fault)" = "%UserProfile%\Application Data\Microsoft\Windows\AeroGlass.theme"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBar\OemCustomTheme\"(

Default)" = "%UserProfile%\Application Data\Microsoft\Windows\AeroGlass.theme"

    sidebar.exe文件运行时,它会搜索以下文件之一:

%System%\fsquirt.exe

%System%\sigverif.exe

%SystemDrive%\syswow64\colorcpl.exe

%System%\colorcpl.exe

%ProgramFiles%\Internet Explorer\ielowutil.exe

%ProgramFiles%\Messenger\msmsgs.exe

%ProgramFiles%\Internet Explorer\iexplore.exe

%ProgramFiles%\Internet Explorer\iexplore.exe

    如果发现上述文件之一,它运行该文件,并注入自身到新的进程中。

    该木马然后在受感染的计算机上打开一个后门,连接到以下网址,允许攻击者可以执行各种操作:

ssl.zin0.com:9999/tcp

zone.apize.net:8768/tcp

untitled.po9z.com:9999/tcp

预防和清除:

  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新

功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 

 

 

Trojan.Travnet

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

    Trojan.Travnet是一个木马,它在受感染的计算机上窃取信息。

 

    该木马可能由包含漏洞的文件生成。

    当木马执行时,它会创建下列文件:

%Temp%\ie.log

%Temp%\netmgr.dll

%Temp%\netmgr.exe

%Temp%\perf2012.ini

%Temp%\sysinfo2012.dll

%Temp%\sysinfo2012.dll

%Temp%\winlogin.exe

%UserProfile%\Start Menu\Programs\Startup\netmgr.lnk

%UserProfile%\Start Menu\Programs\Startup\netmgr.lnk

    接着,它会窃取有以下扩展名的文件:

.doc.docx.pdf.rtf.txt.xls.xlsx

    该木马也会窃取电子邮件的密码和用户名。

    然后,该木马将窃取的信息上传到以下远程地址:

[http://]www.faceboak.net/2012nt/nettrav[REMOVED]


预防和清除:
  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。

专题活动