网络社会征信网

计算机病毒预报(2013年04月29日至2013年05月05日)

发布日期:2013-05-03 15:16:11

Trojan.Stookit

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:Trojan.Stookit是一个木马,它修改受感染的计算机的主引导记录MBR,可能还会窃取计算机上的信息。该木马执行时,它会创建以下文件: %Temp%\rdp.exe %Temp%\[RANDOM NUMBER].dll %System%\drivers\[RANDOM NUMBER].sys C:\Anti.sys  然后,它会创建以下注册表子项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Anti 该木马感染主引导记录MBR。然后,它尝试记录击键记录和活动窗口的标题,并把信息保存在以下文件中:
%System%\keylog.dat接下来,该木马尝试将收集的信息发送的以下地址:
www.shusheng521.meibu.com
www.cctv.lmshusheng.com
www.cctv.kiss58.org
预防和清除:
  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


Trojan.Spamats


警惕程度★★★


影响平台:Win 9X/ME/NT/2000/XP/Server 2003
  Trojan.Spamats是一个木马,在受感染的计算机上打开一个后门,并发送垃圾邮件。
    该木马运行时,会创建以下文件:
%Temp%\[RANDOM FILE NAME].exe
%UserProfile%\Application Data\[RANDOM FILE NAME].exe
然后,它会创建以下注册表项,以便达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[COMPUTER SPECIFIC STRIN
G]" = "[PATH TO TROJAN]"
    该木马会创建下列互斥,保证在计算机上同时只运行一个该木马的实例:MXCHBCCE01然后,它打开一个后门,并从以下网址下载文件:
[http://]mydkarsy.com/image[REMOVED]
[http://]suxmuku.com/image[REMOVED]
[http://]userdnsconns.com/comdi[REMOVED]
    然后,该木马从受感染的计算机发送垃圾邮件。
预防和清除:
  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Matsnu.B


警惕程度★★★


影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Backdoor.Matsnu.B是一个木马,在受感染的计算机上打开一个后门。
    该木马运行时,会复制自身为以下文件之一:
%Temp%\[RANDOM FILE NAME].exe
%UserProfile%\Application Data\[RANDOM FILE NAME].exe
%UserProfile%\[RANDOM FILE NAME].exe然后,该木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[COMPUTER SPECIFIC STR
ING]" = "[PATH TO TROJAN]"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "[PATH
TO TROJAN]"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "[PATH
TO TROJAN]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\
"Startup" = "[PATH TO TROJAN FOLDER]"
然后,该木马在受感染计算机上打开一个后门,并连接到以下URL,等待远程攻击者的命令:
[http://]zeouk-gt.com/typo[REMOVED]
[http://]mbqdczxrz.com/typo[REMOVED]
[http://]seodirect-proxy.com/typo[REMOVED]
[http://]pcv-onlines.com/[REMOVED]
[http://]pgcv-online.com/[REMOVED]
[http://]temp-proxy24.com/typo[REMOVED]
[http://]temp24-proxy24.com/typo[REMOVED]
[http://]online-proxy101.com/typo[REMOVED]
[http://]porkysolderxx.com/amc[REMOVED]
[http://]openwebspace-apo.com/user-057708/foru[REMOVED]
[http://]aqzwzisxu.com/forum[REMOVED]
[http://]dhderzaw.com/forum[REMOVED]
[http://]mbqczxrz.com/typo[REMOVED]
[http://]pcviehppf.com/typo[REMOVED]
[http://]nvufvwieg.com/forum[REMOVED]
[http://]opapodkiu.com/odriw0/foru[REMOVED]
[http://]vgs-shops.com/typo[REMOVED]
[http://]hguupvsje.com/forum[REMOVED]
[http://]aqzwzisxf.com/forum[REMOVED]
[http://]hguudpvsje.com/typo[REMOVED]
    该木马允许远程攻击者在受感染计算机上执行一下操作:
下载并执行文件、自我更新、上述URL列表的更新、删除所有硬盘驱动器中的文件和文件夹、覆盖10000字节的固定硬盘,
并删除以下文件:
%DriveLetter%\ntldr
%DriveLetter%\ntdetect.com
预防和清除:

  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功 能。关闭电脑共享功能,关闭允许远程连接电脑的功能。

专题活动