网络社会征信网

计算机病毒预报(2013年06月10日至2013年06月16日)

发布日期:2013-06-14 14:31:53

Downloader.Castov
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003病毒执行体描述:
    Downloader.Castov是一个木马,它在受感染的计算机上下载文件,并尝试窃取网上银行的信息。
    当木马执行时,它会将自身复制到以下位置:
%System%\svohcst.exe
    然后,它会创建以下注册表,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"download" = "%System%\
svohcst.exe"
    然后,它会连接到以下网页:
[http://]blog.sina.com.cn/s/blog_b2afd7fe[REMOVED]
    上述网页中包含几个类似如下的.jpg文件链接:
[http://]h.hiphotos.baidu.com/album/w=1600;q=90/sign=279cf0e8023b5bb5bed724f806e3ee48/a5c27d1ed21b0ef4147d69[REMOVED]
    然后,木马下载这些.jpg文件,并从中提取出加密的可执行文件。然后解密并执行他们。
    这些可执行文件,利用木马窃取受感染计算机上的网银信息。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功
能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Oldrea
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Backdoor.Oldrea是一个木马,它在受感染的计算机上打开一个后门,改木马也可以窃取计算
机信息和下载其他的恶意文件。
    该木马通过包含恶意附件的电子邮件传播。
    该木马在受感染的计算机上打开一个后门,并连接到以下域之一:
[http://]tumblinator.com/rap_admin/addons/OrtellAddOnDev/members-plus/incl[REMOVED]
[http://]buythepill.net/cart/checkout/s[REMOVED]
[http://]www.sinfulcomicsite.com/wp03/wp-includes/po[REMOVED]
    然后,它从受感染的计算机上搜集以下信息,并发送给远程攻击者:操作系统、用户名、计算机名、国家、语言、连接、驱动器信息、浏览器信息、正在运行的进程、目录列表
    然后,木马可能再受感染的计算机上执行以下操作:
检索文件、执行.exe和.dll 文件以及其他命令
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Tredpaf
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Trojan.Tredpaf是一个木马,它在受感染的计算机上打开一个后门,并下载更多地恶意软件到受感染的计算机。
    该木马可能通过其他恶意文件生成或者由邮件传播。
    该木马运行时,会创建以下文件:
[CURRENTDIRECTORY]\cap.cfg%AllUsersProfile%\Application Data\Microsoft\Crypto\RSA\MachineKeys\[KEY VALUE]
%System%\Microsoft\Protect\[SID]\[GUID]
%System%\Microsoft\Protect\[SID]\Preferred
    然后,该木马创建下列注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\"load" = "[PATH TO TROJAN]"
    然后,它创建下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\MY\Certificates\[HEXADECIMALSTRING]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\MY\Keys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\MY\Keys\[HEXADECIMAL STRING]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\[HEXADECIMAL STRING]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTPFilter\Enum
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\My\Certificates\[HEXADECIMAL STRING]\"Blob" = "[BINARY VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\My\Keys\[HEXADECIMAL STRING]\"Blob" = "[BINARY VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\[HEXADECIMALSTRING]\"Blob"="[BINARY VALUE]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\Control\"NewlyCreated" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\Control\"ActiveService"="HTTPFilter"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\"Service" = "HTTPFilter"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\"ClassGUID" = "{GUID 2}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\0000\DeviceDesc: "HTTP SSL"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HTTPFILTER\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443\"SslCertHash" = "[BINARY VALUE]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443\"AppId" = "00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443\"DefaultSslCertCheckMode" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443\"DefaultSslRevocationFreshnessTime" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443\"DefaultSslRevocationUrlRetrievalTimeout" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443\"DefaultFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTPFilter\Enum\"0" = "Root\LEGACY_HTTPFILTER\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTPFilter\Enum\"Count" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTPFilter\Enum\"NextInstance" = "1"
    该木马可以连接到下面的远程地址:
[http://]149.89.35.19:80
    然后,该木马会执行以下一个或者多个操作:
作为代理、作为服务器来控制连接到受感染的计算机后门、连接到URL、创建宜个自签名证书和SSL一起使用、列举和结束进程、获取磁盘信息、获取操作系统信息、显示器的USB设备、停止执行并从受感染计算机中删除、执行任意Shell命令、睡眠、一定时间、嗅探网络流量、上传,下载和执行文件、使用GLOOX库的Jabber/XMPP协议进行通讯。
预防和清除:不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。

专题活动