网络社会征信网

计算机病毒预报(2013年09月16日至2013年09月22日)

发布日期:2013-09-25 13:27:24

Trojan.Guntor

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

    Trojan.Guntor是一个木马,它在受感染的计算机上感染主引导记录(MBR)。

    木马执行时,创建以下日志文件:%Temp%\stinst.log    该木马将下列信息写入到日志文件中:操作系统版本、随机生成的名称,木马重写受感染计算机的主引导记录,然后保存。

    木马加载并执行保存的主引导记录。

    然后,用一个恶意的dll文件取代sfc_os.dll该恶意的dll文件是一个下载器,它可以从以下地址下载并运行恶意文件:[http://]www.leowen.net

    木马在保存主引导记录后储存该恶意dll

    该木马试图终止杀毒软件运行。

预防和清除:

    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。  

Trojan.Atraxbot

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

     Trojan.Atraxbot是一个木马,它在受感染的计算机上打开一个后门,并窃取机密信息。

    该木马被执行时,会创建下列文件:

C:\Documents and Settings\All Users\Application Data\[RANDOM NUMBERS].exeC:\Documents and Settings\All Users\Application Data\CC250[RANDOM HEXADECIMAL NUMBERS]

    该木马会创建以下注册表项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Svchost" = "C:\Documents and Settings\All Users\Application Data\[RANDOM NUMBERS].exe"

    该木马在计算机上打开一个后门,连接到以下域: 

iloii7dnyotii3gr.onion

    该木马可以连接到以下IP地址: 

76.73.17.194194.109.206.21286.59.21.88

    该木马可能会连接到以下网址,获取受感染计算机的公网IP[http://]ipv4.icanhazip.com[REMOVED][http://]checkip.dyndns.org[REMOVED]

    该木马还可以执行操作:web浏览器窃取数据和密码、检查是否有调试器、检查是否运行在虚拟机上。

预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 

Backdoor.Flyoutburn

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

    Downloader.Castov.B是一个木马,它在受感染的计算机上执行恶意活动。该木马执行时,会创建下列文件:

%Temp%\DW20.dll%AllUsersProfile%\Application Data\Microsoft\Windows\Burn\[COMPUTER NAME].dll%AllUsersProfile%\Application Data\Microsoft\Windows\LiveUpdata_Mem\[RANDOM CHARACTERS].dll%AllUsersProfile%\Application Data\Microsoft\Windows\LiveUpdata_Mem\[RANDOM CHARACTERS]_One.dll

    该木马还会创建下列文件夹:

%AllUsersProfile%\Application Data\Microsoft\Windows\123%AllUsersProfile%\Application Data\Microsoft\Windows\Burn%AllUsersProfile%\Application Data\Microsoft\Windows\Burn\[COMPUTER NAME]%AllUsersProfile%\Application Data\Microsoft\Windows\LiveUpdata_Mem

    该木马会创建以下注册表项:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "[COMPUTER NAME]" = "[%AllUsersProfile%\Application Data\Microsoft\Windows\Burn\[COMPUTER NAME].dll]"

    该木马可能连接到以下域的9696端口:internet.3-a.net

    该木马可能连接到以下域的61786端口:dtl6.mooo.comdtl.eatuo.comdtl.dnsd.me

      木马可能使用RAS服务,打开VPN连接。

预防和清除:

    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

专题活动