网络社会征信网

计算机病毒预报(2013年08月19日至2013年08月25日)

发布日期:2013-09-24 17:19:52

W32.Exploz
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003病毒执行体描述:
    W32.Exploz是一个病毒,它在受感染的计算机上感染PDFXLS文件。
    该病毒可能使用以下名称作为文件名:
[FILE NAME].cod.scr
[FILE NAME].fdp.scr
[FILE NAME].slx.scr
    该病毒使用从右到左的规则来隐藏真实的文件扩展名,上述文件将被显示成:
[FILE NAME].doc
[FILE NAME].pdf
[FILE NAME].xls
    当病毒执行时,它可能会删除以下文件之一:
%UserProfile%\Templates\wincex.dll (Backdoor.Trojan) 
svchost.bat
service.bat
iexplore.bat
services.bat
    然后,病毒创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Description" = "The service allows you to transfer pictures,music, and documents from your portable device to your PC using a usb cable and a drag and drop interface."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"DisplayName" = "Portable Media Manage"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ImagePath" = "%SystemRoot%\System32\svchost.exe -k lssvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Type" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Parameters\"ServiceDll"="%UserProfile%\Templates\wincex.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Parameters\"ServiceMain" = "ESEntry"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Security\"Security" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"ConfigFlags" ="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"DeviceDesc" = "Portable Media Manage"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Service" = "WmdmPMM"
    然后,该病毒试图感染.doc.pdf.xls类型的文件。
    根据原始文件的扩展名,受感染的文件将被重命名为以下格式之一:
[ORIGINAL FILE NAME].cod.scr
[ORIGINAL FILE NAME].fdp.scr
[ORIGINAL FILE NAME].slx.scr
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Fakebank
警惕程度★★★
影响平台:Android
    Android.Fakebank是一个木马,它从受感染的设备上窃取信息。 
    该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包信息如下:
包名称:com.ibk.smsmanagercom.example.kbtest
版本:1.0
产品名称:KB
2.权限
当被安装了木马,它要求一些权限来执行以下操作:开机启动、访问网络信息、阅读设备上的短信、创建新的短信、发送短信、监控收到的短信、写入到外部存储、检查手机当前状态、读取联系人信息、创建新的联系人数据、允许将包安装或删除。
3.安装
一旦安装完毕,应用程序会显示以下图标:
4.功能:
该木马将收到的SMS信息发送到以下网址:
[http://]kkk.kakatt.net:3369/send_pro[REMOVED]
然后,该木马在设备上运行时,会显示一个表单,要求用户输入银行的详细信息;然后木马将收集到的详细信息,发送到以下网址:
[http://]kkk.kakatt.net:3369/send_b[REMOVED]
预防和清除:
    不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。
Android.Fakealbums
警惕程度★★★
影响平台:Android
Android.Fakealbums是一个木马,它在受感染的设备上显示收到的信息,并转发。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包信息如下:
包名称:taobao.account.safety
产品名称:Photo albums
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
在设备上阅读短信、发送短信、监控收到的短信、打开网络连接
3.功能:
该木马不显示自己的图标。
该木马会显示一条通知栏,欺骗用户点击它,并从以下链接下载一个博彩软件:
[http://]nsms.sinaapp.com
该木马将监控设备接收到的信息,并将信息发送给号码:13027225522
预防和清除:
    不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。
 
 
 

专题活动