网络社会征信网

计算机病毒预报(2013年09月09日至2013年09月15日)

发布日期:2013-09-25 13:20:25

W32.Nemim

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

    W32.Nemim是一个病毒,它在受感染的计算机上感染.exe文件。

    该病毒可能由Downloader.Nemim木马下载到受感染计算机,也可能通过固定和可移动驱动器传播。

    病毒执行时,会删除下列文件:

%UserProfile%\Application Data \Microsoft\Display\smagent.exe

    该病毒也试图感染连接到受感染计算机上的固定和可移动驱动器上的.exe文件。

预防和清除:

    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Hadmad

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

    Backdoor.Hadmad是一个木马,它在受感染的计算机上打开一个后门。

    该木马可能利用现有漏洞。

    该木马是一个后门木马,它在服务器端制作一个脚本,如phpjsp,它只能由远程攻击者在HTTP上执行。

    木马执行时,会在受感染计算机上打开一个后门,允许远程攻击者执行一下操作:列表、复制、修改和删除文件;执行shell脚本;管理数据库。

预防和清除:

    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。  

Downloader.Castov.B

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

    Downloader.Castov.B是一个木马,它在受感染的计算机上下载其他恶意文件。

    该木马执行时,会创建下列文件:

%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\config.ini%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\libeay32.dll%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\ssleay32.dll%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\alg.exe%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\spoolsv.exe%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\svchost.exe%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\mdm.exe%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\svchost.exe%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\mdm.exe

    该木马还会创建下列文件夹:

%UserProfile%\Application Data\tor\lock%UserProfile%\Application Data\tor\state

    该木马会创建以下注册表项,达到开机启动的目的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"svchost" = "\"%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\svchost.exe\""HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"mdm" = "\"%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\mdm.exe\""

    木马连接到以下地址,用以获取受感染计算机的IP地址: 

ipaddress.com

    然后,木马可以尝试使用以下网址访问TOR匿名网络:

ku6pguniacuqnm3c.onion/boardlk4nl7vviytvlktd.onion/boardx3xropcdiuxdzbxv.onion/boardqeds5bly62m2ltpn.onion/boardty3btaznplsswtar.onion/boarde53hzrlshoj374vl.onion/board    木马还可能在受感染计算机上下载其他文件。

预防和清除:

    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

专题活动