网络社会征信网

计算机病毒预报(2013年06月24日至2013年06月30日)

发布日期:2013-09-24 16:02:10

Trojan.Kilim
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
    Trojan.Kilim是一个木马,它在受感染的计算机上下载并安装恶意的浏览器扩展程序,它可以获取计算机上用户的
社交账户并进行利用,例如发布消息。
    当用户点击一个恶意的被重定向的网站链接时,木马被安装。
    当木马执行时,它会创建以下文件:
%ProgramFiles%\sXe 14.2 Wall - Aim\sXe 14.2 Wall - Aim\Uninstall.exe
%ProgramFiles%\sXe 14.2 Wall - Aim\sXe 14.2 Wall - Aim\Uninstall.ini
%Temp%\crx.txt%Windir%\AdobeFlash\update.xml%Windir%\windows.exe
%Windir%\AdobeFlash\windows.exe%Windir%\AdobeFlash2\update.xml
    然后,它会创建以下注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"EnableLUA"= "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"AdobeFlashUpdateManager"=""%Windir%\AdobeFlash\windows.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist\"1"="http://www.e-begen.com/crx;C:\Windows\AdobeFlash\update.xml"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist\"2"=http://www.trkral.com/crx;C:\Windows\AdobeFlash2\update.xml
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sXe 14.2 Wall -Aim sXe 14.2 Wall - Aim 
Next, the Trojan may connect to any of the following domains: www.e-begen.com/crx[REMOVED、[http://]www.limbao.com][http://]
[http://]www.okubakgor.com[http://]www.trkral.com/crx[REMOVED]
[https://]chrome.google.com[https://]graph.facebook.com
    然后,它会下载并安装谷歌浏览器扩展程序。
    当用户登录Facebook时,木马可以执行一下操作:发布用户最新信息、"Like"页面、Follow其他用户任何试图查看安装的谷歌扩展将被重定向到以下地址:
https://chrome.google.com/webstore
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
Trojan.Botime
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Trojan.Botime是一个木马,它下载更多地恶意软件到受感染的计算机上。
 当木马运行时,它会复制文件%System%\MSCTFIME.IME到以下位置:
%System%\MSCTFIMEEXT.IME
 然后,它会创建下列注册表项,达到使用键盘时执行木马的功能:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E6861806\"IME File"= "MSCTFIMEEXT.IME"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E6861806\"Layout File" = "KBDUS.DLL"
    它还创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\"id2"="22734842QLBORUB6"
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\"ie"="%CurrentFolder%\[ORIGINAL FILE NAME].exe"
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\"it2" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\Boot\"Runner1"="[BINARY DATA]"
HKEY_USERS\.DEFAULT\Software\Microsoft\InternetExplorer\Main\"Start Page" = "about:blank"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"CertificateRevocation" = "1"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"DisableCachingOfSSLPages" = "1"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"EnableHttp1_1" = "1"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"PrivacyAdvanced" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFavoritesMenu" = "1"
    木马修改以下注册表项修改IE设置:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1001" = "3"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1201" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1601" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1C00" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"CurrentLevel" = "0"
    它还修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IMM\"LoadIMM" = "1"
HKEY_USERS\.DEFAULT\KeyboardLayout\Preload\"1"="E6861806"
    然后,木马注入自身到以下进程并执行:
svchost.exe
    然后,该木马揭秘释放一个变种的W32.Morto.B
    然后,W32.Morto.B在计算机上打开一个后门,并连接到下面的远程地址:
[http://]ip.hizgjn.net[http://]tp.hizgjn.net
     然后,远程攻击者可以在受感染的计算机上执行以下操作:
下载并执行文件、列举与安全相关的进程列表、关闭计算机、窃取系统信息
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
W32.Zbot
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
 W32.Zbot是一个蠕虫 ,它通过可以动驱动器传播,并尝试在受感染的计算机上窃取机密信息。它还可以从网上下载配置文件和更新。
该蠕虫运行时,会创建以下文件:
%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME ONE]\[RANDOM CHARACTERS FILE NAME ONE].tmp
%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME ONE]\[RANDOM CHARACTERS FILE NAME ONE].[RANDOM THREE LETTER FILE EXTENSION ONE]
%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME TWO]\[RANDOM CHARACTERS FILE NAME ONE TWO].[RANDOM THREE LETTER FILE EXTENSION TWO]
%UserProfile%\Application Data\[RANDOM CHARACTERS FOLDER NAME THREE]\[RANDOM CHARACTERS FILE NAME THREE].exe
    它还创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "[PATH TO THREAT]"
    它还创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"FirstRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\"ConnectionSettingsMigrated" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Privacy\"CleanCookies" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail\[USER NAME]@[NETWORK DOMAIN]\"TimeStamp" = "[BINARY CONTENT]"
HKEY_CURRENT_USER\Software\Microsoft\[RANDOM CHARACTERS REGISTRY SUBKEY ONE]\"[RANDOM CHARACTERS REGISTRY ENTRY ONE]" = "[BINARY CONTENT]"
HKEY_CURRENT_USER\Software\Microsoft\[RANDOM CHARACTERS REGISTRY SUBKEY TWO]\"[RANDOM CHARACTERS REGISTRY ENTRY TWO]" = "[BINARY CONTENT]"
    然后,蠕虫在受感染的计算机上打开一个后门,并连接到下面的远程命令与控制服务器:
06939d1ad5a2f4b0.comgibsonfunsite.rutelevisionhunter.ruwatchtourist.rurentfamily.ru
    然后,它可以执行以下操作:
    重新启动或关闭计算机、删除系统文件,导致计算机无法使用、禁用或恢复特定的URL访问、注入恶意的HTML内容转换为符合定义的URL页面、下载并执行文件、执行本地文件、上传文件或文件夹、窃取数字证书、窃取登录凭据、更新配置文件、
重命名根可执行文件、上传或删除闪存Cookies、更改IE主页、截图、HOOK进程、创建一个远程Shell、收集受感染的计算机信息
    该蠕虫然后将自身复制到连接到计算机的可以动驱动器上。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功
能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
 

专题活动