网络社会征信网

计算机病毒预报(2013年08月05日至2013年08月11日)

发布日期:2013-09-24 17:15:56

Backdoor.Ratenjay
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
    Backdoor.Ratenjay是一个木马,它在受感染的计算机上打开一个后门。
    当木马执行时,它为自身创建以下副本:
%Temp%\[THREAT FILE NAME].exe
%SystemDrive%\! My Picutre.SCR
%DriveLetter%\! My Picutre.SCR
%ProgramFiles%\Startup\[RANDOM NAME].exe
    然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]"= "%Temp%\[THREAT FILE NAME]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITSANDNUMBERS]"= "\%Temp%\[THREAT FILE NAME]\"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "C:\Documents and Settings\All Users\Application Data\msnco.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITSAND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "C:\Documents and Settings\All Users\Application Data\msnco.exe"
    该木马还创建以下注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\[THREATFILENAME]"="%Temp%\[THREATFILE NAME]:*:Enabled:[THREAT FILE NAME]"
然后,该木马打开后门,连接以下远程命令与控制服务器之一:
koodk.no-ip.biz:8008
6939147.no-ip.biz:1177
alrewesh3.no-ip.org:1177
profesor111.no-ip.biz:8521
217.66.231.245:1177
    该后门可能允许远程攻击者可以执行以下操作:
启动一个远程shell、设置键盘记录、检索计算机设置、修改注册表、下载并运行文件、加载和执行插件、屏幕截图、卸载自身、自动更新、将自身复制到网络和移动设备、使用网络摄像头捕捉图像
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Linopid
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述: 
    Backdoor.Linopid是一个木马,它在受感染的计算机上打开一个后门,并窃取信息,下载额外的恶意文件。
    该木马执行时,会连接到以下主机和端口:
soo.dtdns.net:80/443/1863
cxcy.xxxy.info:80/443/1863
    该木马会执行以下操作:
发送文件列表、上传文件、下载文件、移动文件、删除文件、执行文件、执行命令、发送驱动器列表、发送进程列表、终止进程、发送客户端信息、发送计算机信息。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Ransomserv
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述
    Trojan.Ransomserv是一个木马,它在受感染的计算机上打开一个后门,并对文件进行加密。
    当木马被执行时,它可能会创建以下文件:
C:\ProgramData
    该木马试图终止受感染计算机上运行的所有非操作系统的服务。
    然后禁止自动运行。
    接着,它会删除Windows系统启动文件夹里的内容。
    然后,它删除以下注册表子项中的所有条目:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    然后,该木马对受感染计算机上发现的文件进行加密。
    文件加密后,该木马会显示以下要求支付赎金的标题:
Warning! Access to your computer is limited. Your files have been encrypted.
    然后,用户会被要求支付4000美元用以对加密文件进行解密:
http://www.sheitc.gov.cn/res_base/sheitc_gov_cn_www/upload/article/image/2013_3/8_2/mvrchjuyelbq.jpg 
该木马在受感染计算机上打开后门,并允许远程攻击者进行访问。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
 
 

专题活动