网络社会征信网

计算机病毒预报(2013年09月02日至2013年09月08日)

发布日期:2013-09-25 08:58:28

Backdoor.Kerlisen

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

    Backdoor.Kerlisen是一个木马,它在受感染的计算机上打开一个后门。
   
木马执行时,会删除下列文件:

%System%\drivers\BTHSERV.Sys

%System%\drivers\butedger.sys

%System%\drivers\dumpeta.sys

%System%\drivers\fsDriver.sys

%System%\drivers\nbistapi.sys

%System%\drivers\Processr.sys

%System%\drivers\sdstor.sys

%System%\drivers\sqldpas.sys

%System%\drivers\vmartmg.sys

%System%\drivers\wd.sys

%System%\drivers\wlbsctrl.dll

%System%\drivers\wuacult.sys

    该木马在受感染计算机上打开一个后门,允许攻击者执行以下操作:设置一个HTTP代理、执行远程命令、设置一个嗅探器、注入不同的有效载荷。

预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。  

Backdoor.Opsiness

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

    Backdoor.Opsiness是一个木马,它在受感染的计算机上打开一个后门,窃取机密信息。

    木马执行时,会将自身复制到以下位置:

%DriveLetter%\Documents and Settings\Administrator\Application Data\servctl.jar

    该木马会创建以下注册表项,达到开机启动的目的:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"asdasa"="%DriveLetter%\aaa.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"WinFirewall"="C:\ProgramFiles\Java\jre6\bin\javaw.exe-jarC:\Documents and Settings\Administrat or\Application Data\servctl.jar"

    然后,木马连接以下一个或多个远程地址:

frutasrat.sytes.net

googlenews.MyRedirect.us

    然后,该木马在受感染计算机上打开后门,允许攻击者执行以下操作:

浏览文件系统、下载文件、检索数据、进行截图、卸载木马、更新木马,木马窃取以下信息,并把信息发送给远程攻击者:受感染计算机的地址位置、JAVA脚本、本地IP地址、MAC地址、操作系统详细信息、用户名木马可以窃取以下应用程序的凭据:

AOL Instant MessengerChromeDigsbyFileZillaFirefoxGAIM/PidginGoogle TalkICQ LiteInternet Download ManagerInternet ExplorerMirandaMSN MessengerMySpace IMOperaPaltalkSceneSafariTrillianTrillian AstraVitalwerksWindows Live MessengerWindows MessengerYahoo Messenger

 预防和清除:

    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

 Trojan.Silentbrute

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

    Trojan.Silentbrute是一个木马,它在受感染的计算机上打开一个后门并下载文件。

    该木马执行时,会复制自身到以下位置:

%UserProfile%\Application Data\System\[THREAT NAME].exe

    该木马会创建以下注册表项,达到开机启动的目的:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[THREAT NAME]" = "%UserProfile%\Application Data\System\[THREAT NAME].exe"

    然后,木马连接下面的远程控制与命令服务器:

[C&C SERVER ADDRESS]/cmd.php

[C&C SERVER ADDRESS]

包含以下地址:

my.ololo.in

bestsexycams.biz/brut

u.ololo.in

木马还下载常见的用户名和密码列表,并使用它们暴力破解目标主机的密码。

预防和清除:

    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

 

专题活动