网络社会征信网

计算机病毒预报(2013年05月27日至2013年06月02日)

发布日期:2013-05-30 14:39:20

Trojan.Fakesafe
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
    Trojan.Fakesafe是一个木马,它在受感染的计算机上打开一个后门,并窃取计算机上的信息。当木马执行时,他会复制自身为以下文件:
%Temp%\SafeNet\SafeExt.dll%ProgramFiles%\InternetExplorer\SafeNet\SafeExt.dll
    然后,它会创建下列文件:
%Temp%\SafeNet\SafeCredential.DAT
%Temp%\SafeNet\SafeExt.org
%Temp%\_Rm.bat
%ProgramFiles%\InternetExplorer\SafeNet\SafeCredential.DAT
    它也可能将自身复制为以下文件:
%Temp%\SafeNet\kernel.dat
    接着,它会创建以下注册表项:
HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\SuperExtender\"(Default)"="{B0597F7E-06FF-4A31-9C2C-11483CE7F30E}"
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\SuperExtender\"(Default)"="{B0597F7E-06FF-4A31-9C2C-11483CE7F30E}"
HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\SuperExtender\"(Default)"="{B0597F7E-06FF-4A31-9C2C-11483CE7F30E}"
HKEY_CLASSES_ROOT\CLSID\{B0597F7E-06FF-4A31-9C2C-11483CE7F30E}\InprocServer32\"(Default)"="%ProgramFiles%\Internet Explorer\SafeNet\SafeExt.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved\"{B0597F7E-06FF-4A31-9C2C-11483CE7F30E}" = "QuickOpen ContextMenu Extension"
    然后,它会试图打开一个后门,链接到以下预定义的URL:
www.getapencil.com
     然后,木马会在受感染的计算机上执行以下操作:
下载文件,包括假冒的杀毒软件、更新木马程序
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Smackdown
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Trojan.Smackdown是一个木马,它下载其他的恶意程序到受感染的计算机,并窃取计算机上的信息。
    该木马运行时,它会从受感染的计算机上搜集以下信息:
系统名称、恶意文件位、计算机内的日期、网络适配器信息
    然后,木马将获取的信息以下列格式发送到远程命令与控制服务器:
cdata=[COMPUTER NAME]&res=k&fold=[PATH TO COMPROMISED FILE]DLFL:[COMPROMISEDTIMESTAMP]%20From:[COMPROMISED HOSTIP]:http://[REMOVED]-s.com/hsupport.php?cdata=[COMPROMISED HOSTNAME]
    该木马可以下载额外的模块:上传、信息获取、键盘记录、摄像头控制、后门Shell
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Smackup
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Trojan.Smackup是一个木马,它在受感染的计算机上窃取信息。
    该木马运行时,会创建下列文件:
%SystemDrive%\MSOCache\test.vbs
%SystemDrive%\MSOCache\start.bat
%SystemDrive%\MSOCache\start1.bat
%SystemDrive%\MSOCache\1.pdf
%SystemDrive%\MSOCache\Ron.exe
%SystemDrive%\MSOCache\Hen.exe
%SystemDrive%\MSOCache\Info-[DATE].log
%SystemDrive%\MSOCache\MS[THREE DIGITS].log
    然后,它创建下列注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"GlitchInstrumentation"="%SystemDrive%\MSOCache\Ron.exe\"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"GlitchInstrumentation"="%SystemDrive%\MSOCache\Ron.exe\"
    然后,该木马会创建下列互斥,保证只有一个木马实例运行:
[MONTHLYDESX]
    然后,木马会收集系统信息,并保存到以下文件:
%SystemDrive%\MSOCache\Info-[DATE].log
    然后,它还会收集以下扩展名的文件:
.doc、.docx、.xlsx、.ppt、.pptx、.pdf
    木马记录击键操作、打开的窗口标题,并保存在以下文件中:
%SystemDrive%\MSOCache\MB145.log
    木马将记录的信息上传到以下地址:
kungfu-panda.info/serverinfo.php
kungfu-panda.info/admin/setup.php
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功
能。关闭电脑共享功能,关闭允许远程连接电脑的功能。

专题活动