网络社会征信网

计算机病毒预报(2013年06月17日至2013年06月23日)

发布日期:2013-06-17 16:55:23

Backdoor.Tranwos
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003病毒执行体描述:
    Backdoor.Tranwos是一个木马,它在受感染的计算机上打开一个后门。
    当木马执行时,它会创建以下文件:
%CurrentFolder%\jflsdkjf001.dat
%Temp%\s[RANDOM ASCII CHARACTERS]\s[RANDOM ASCII CHARACTERS]\wow.dll
%Temp%\s[RANDOM ASCII CHARACTERS]\s[RANDOM ASCII CHARACTERS]\wow64.dll
    然后,它会创建以下注册表:
HKEY_CURRENT_USER\Software\Classes\CLSID\{fbef8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\"Default"="%Temp%\s[RANDOMASCIICHARACTERS]\s[RANDOMASCIICHARACTERS]\wow.dll"
    然后,它会在受感染的计算机上打开一个后门,连接到以下一个或者多个远程地址:
[http://]typerttsx.com
[http://]typicalsx.com
[http://]85.17.26.220
    该木马允许远程攻击者执行以下操作:连接到指定服务器、下载并执行文件
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Coinliteminer
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
     Trojan.Coinliteminer是一个木马,它利用受感染的计算机的资源采集耐特币。
    该木马通过包含恶意附件的电子邮件传播。
    当木马运行时,会创建以下文件:
%UserProfile%\ApplicationData\WindowsFilessc\coinutil.dll
%UserProfile%\Application Data\WindowsFilessc\kill.bat
%UserProfile%\ApplicationData\WindowsFilessc\macromedia.exe
%UserProfile%\ApplicationData\WindowsFilessc\macro\compile.bat
%UserProfile%\Application Data\WindowsFilessc\miner.dll
%UserProfile%\Application Data\WindowsFilessc\phatk.cl
%UserProfile%\Application Data\WindowsFilessc\phatk.ptx
%UserProfile%\Application Data\WindowsFilessc\put.vbs
%UserProfile%\Application Data\WindowsFilessc\shell.exe
%UserProfile%\Application Data\WindowsFilessc\usft_ext.dll
%UserProfile%\ApplicationData\WindowsFilessc\usft_ext.exe.vbs
%UserProfile%\Start Menu\Programs\Startup\Skype.lnk
    然后,它会创建下列注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\WinRARSFX\"%UserProfile%\ApplicationData\WindowsFilessc"="%UserProfile%\Application Data\WindowsFilessc"
    然后,木马利用受感染的计算机的资源采集耐特币。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Kboy
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Backdoor.Kboy是一个木马,它在受感染的计算机上打开一个后门。
    该木马可能通过恶意的word文档生成。
    该木马运行时,会创建以下文件:
%System%\CREDRIVER.dat
%System%\CREDRIVER.dll
    然后,该木马创建下列属性的服务:
Display Name: Microsoft device and Drivers Update Monitor
Image Path: %System%\svchost.exe -k WinDevices
Startup Type: Automatic
Description: Provide Microsoft device and Drivers Update Services
    然后,它创建下列注册表项来注册上述服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MdAdum
    它还创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost\"WinDevices" ="MdAdum"
    该木马在受感染的计算机上打开一个后门,并用https连接到以下远程的控制与命令服务器之一:
cpnet.phmail.us
imlang.phmail.org
silence.phdns01.com
    该木马可以执行以下操作:浏览文件系统、创建一个远程shell、设置键盘记录、窃取储存在IE和FireFox里的密码、上传和下载文件
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。

专题活动