网络社会征信网

计算机病毒预报(2013年07月01日至2013年07月07日)

发布日期:2013-09-24 16:14:25

Trojan.Rloader.B
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
    Trojan.Rloader.B是一个木马,它在受感染的计算机上打开一个后门,也可以下载其他文件到计算机,并窃取受感染计算机上的信息。
   
该木马可能由W32.Waledac下载到受感染计算机。
   
当木马执行时,它检查以下注册表项,确定安装的应用程序:
HKEY_CURRENT_USER\Software\CommView
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRIS5
HKEY_CURRENT_USER\Software\eEye Digital Security
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wireshark
HKEY_LOCAL_MACHINE\SOFTWARE\ZxSniffer
HKEY_LOCAL_MACHINE\SOFTWARE\Cygwin
HKEY_CURRENT_USER\Software\Cygwin
HKEY_LOCAL_MACHINE\SOFTWARE\B Labs\Bopop Observer
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Bopop Observer
HKEY_CURRENT_USER\Software\Blabs\Bopop Observer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Win Sniffer_is1
HKEY_CURRENT_USER\Software\Win Sniffer
HKEY_CURRENT_USER\PEBrowseDotNETProfiler.DotNETProfilter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu2\PRograms\DebuggingTools for Windows (x86)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SDbgMsg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu2\PRograms\APIS32
HKEY_CURRENT_USER\Software\Syser SoftHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\APIS32
HKEY_LOCAL_MACHINE\SOFTWARE\APIS32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ORacle VM VirtualBox Guest Additions
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxGuest
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SbieDrv
HKEY_CURRENT_USER\Software\Classes\Folder\shell\sandbox
HKEY_CURRENT_USER\Software\Classes\*\shell\sandbox
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com
HKEY_CURRENT_USER\SUPERAntiSpywareContextMenuExt.SASCon.1
HKEY_CURRENT_USER\Software\SUPERAntiSpyware.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ERUNT_is1
    然后,它会搜索下列列表中正在运行的进程:
cv.exeirise.exeIrisSvc.exewireshark.exedumpcap.exeZxSniffer.exeAircrack-ng Gui.exeobserver.exetcpdump.exeWinDump.exewspass.exeRegshot.exeollydbg.exePEBrowseDbg.exewindbg.exeDrvLoader.exeSymRecv.exeSyser.exeapis32.exeVBoxService.exeVBoxTray.exe,SbieSvc.exe,SbieCtrl.exe,SandboxieRpcSs.exe,SandboxieDcomLaunch.exe,SUPERAntiSpyware.exe,ERUNT.exeERDNT.exeEtherD.exeSniffer.exeCamtasiaStudio.exeCamRecorder.exe
    然后,它会收集下列系统相关信息:
操作系统版本、机器ID、区域设置、语言、UID、卷信息(%Windir%\System Volume Information)
    该木马修改系统host文件,将搜索请求和广告内容重定向到下列地址:
64.125.87.101
64.125.87.147
72.30.186.249
77.125.87.109
77.125.87.148
77.125.87.149
77.125.87.150
77.125.87.152
87.125.87.103
87.125.87.104
87.125.87.147
87.125.87.99
87.248.112.8
92.123.68.97
    该木马还会修改FirefoxIE的主页:
[http://]findgala.com
    该木马会创建下列文件:
%Temp%\[RANDOM].sys
%Temp%\[RANDOM].exe
    该木马从注册表中收集以下信息:
安装日期、计算机名、适配器信息、Windows更新状态、产品编号
    木马将自身注入到以下进程:
chrome.execmd.exeexplorer.exefar.exefirefox.exeiexplore.exeopera.exetotalcmd.exewuauclt.exe
    木马窃取以下信息:
操作系统版本、安装日期、计算机GUID、安装的磁盘、硬件配置文件
    然后,木马将窃取的信息发送到远程服务器。
预防和清除:
  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Centero
警惕程度★★★
影响平台:Android
    Android.Centero是一个木马,它在受感染的设备上显示广告。 
    该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
com.easou.pluscom.easou.searchcn.tianya.light    
2.一旦安装,应用程序显示一个红色图标“e”和一个“+”(加号):
3.权限
当被安装了木马,它要求一些权限来执行以下操作:
    打开网络连接、写入到外部存储设备、访问有关网络的信息、修改当前的配置、检查手机的当前状态、防止处理器休眠或关闭屏幕、获取有关当前或最近运行的任务的信息、允许访问低级别的电源管理、开机启动、创建一个快捷方式、安装软件包、打开窗口、手机调成震动、访问位置信息,如手机IDWiFi、设施的位置信息,如GPS信息、访问的WiFi状态的信息、写入到外部存储设备。
4.功能:
  该木马会监视某些流行的应用程序、并且在受感染的设备中的应用程序里显示广告,获得广告收入。
预防和清除:
    不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。
Android.Fakedefender
警惕程度★★★
影响平台:Android
    Android.Fakedefender是一个木马,它在安卓设备上显示虚假的安全警告,试图说服用户购买安全应用程序,涌来删除设备上本就不存在的恶意软件或者安全风险。
    该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
com.android.defender.androiddefender
2.一旦安装,应用程序显示一个图标与文本“Android Defender”。:
3.权限
当被安装了木马,它要求一些权限来执行以下操作:
当被安装了木马,它要求的权限来执行以下操作:
    访问位置信息,如手机IDWiFi、设施的位置信息,如GPS信息、访问有关网络的信息、访问的WiFi状态的信息、更改网络连接状态、更改Wi-Fi连接状态、允许程序禁用键盘锁、展开或折叠状态栏、进入到列表中的账户所在服务、打开网络连接、结束后台进程、读取用户的联系人数据、检查手机的当前状态、在设备上阅读短信、开机启动、打开窗口、手机震动模式、防止处理器从休眠或关闭屏幕、创建新的联系人数据、写入到外部存储设备、创建新的短信、安装一个快捷方式。
4.功能:
    该木马会显示虚假的安全警告,企图说服用户购买一个应用程序,用来删除设备中本就不存在的恶意软件或安全风险。
它还会删除下列文件中中的所有apk文件:
[EXTERNAL STORAGE MEDIA]/Download
/mnt/external_sd/Download
/mnt/extSdCard/Download
创建下列SQLite数据库文件:
droidbackup.db
    然后,木马复制设备中的所有短信。
设备被锁定时,它可能显示一个色情背景图像。
    然后,它结束以下后台进程:
com.rechild.advancedtaskkiller
com.estrongs.android.pop
com.metago.astro
com.avast.android.mobilesecurity
com.estrongs.android.taskmanager
com.gau.go.launcherex.gowidget.taskmanagerex
com.gau.go.launcherex
com.rechild.advancedtaskkillerpromobi.infolife.taskmanager
com.rechild.advancedtaskkillerfroyo
com.netqin.aotkiller
com.arron.taskManagerFree
com.rhythm.hexise.task
预防和清除:
    不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。 
 
 

专题活动

ȍ2*].PEȍ2*].