网络社会征信网

每周病毒预报(2013年10月21日至10月27日)

发布日期:2013-10-21 13:59:42

Backdoor.Cyberat

警惕程度★★★ 

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

Backdoor.Cyberat是一个木马,它在受感染计算机上打开一个后门,并窃取信息。

木马执行时,它创建下列文件:

%Temp%/[RANDOM CHARACTERS].exe

%Temp%/f.txt

%Temp%/ns.txt

%Temp%/[CURRENT USER NAME]7

%Temp%/[CURRENT USER NAME]8

%SystemDrive%/[RANDOM CHARACTERS]/[RANDOM CHARACTERS].exe

然后,木马创建以下注册表项,达到开机启动的目的:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"[RA

NDOM CHARACTERS]"= "%Temp%/[RANDOM CHARACTERS].exe"

然后,木马创建以下注册表项:

HKEY_CURRENT_USER\Software\TEST\"NewIdentification" = "TEST"

HKEY_CURRENT_USER\Software\TEST\"NewGroup" = ""

HKEY_CURRENT_USER\Software\TEST\"FirstExecution" = "[DAY/MONTH/YEAR] -- [HOURS:MINUTES]"

然后,木马连接到下面的远程地址:

[http://]199.175.52.228/Panel/imag[REMOVED]

然后,木马可以执行以下操作:

允许攻击者查看和更改受感染计算机上的文件属性、允许攻击者查看和编辑注册表想、捕捉音频、使用网络摄像头捕捉视频、在受感染的计算机上显示消息、下载并执行其它恶意软件、执行命令、剪贴板数据的收集和处理、收集信息,安装windows的程序和服务、收集网络统计数据和建立连接、列出正在运行的进程、击键记录、打开后门、用默认浏览器打开网页、打开和关闭光驱。

预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新

功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

Backdoor.Kopdel

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

 

Backdoor.Kopdel是一个木马,它可能通过其他恶意软件生成。

木马执行时,它可能会创建以下注册表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\[SERVICE NAME]\"NextInstance" = 0x

00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\[SERVICE NAME]\0000\"Class" = "Le

gacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\[SERVICE NAME]\0000\"ClassGUID" =

 "[GUID]"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\[SERVICE NAME]\0000\"ConfigFlags"

 = 0x00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\[SERVICE NAME]\0000\"DeviceDesc" =

 "[SERVICE NAME]"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\[SERVICE NAME]\0000\"Legacy" = 0x

00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\[SERVICE NAME]\0000\"Service" = "

[SERVICE NAME]"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"Description" = "Pr

ovides Interfaces for Windows Debug and Error Handle"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"DisplayName" = "[S

ERVICE NAME]"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"ErrorControl" = 0x

00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"ErrorHandle" = "12

0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"ErrorPointer" = [BI

NARY CONTENT]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"ImagePath" = "%WOR

KINGDIRECTORY%\%SAMPLENAME%"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"ImagePath" = "%WOR

KINGDIRECTORY%\%SAMPLENAME%.exe""

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"ObjectName" = "Loc

alSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"Start" = 0x000000

02

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\"Type" = 0x00000010

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[SERVICE NAME]\Security\"Security"

 = [BINARY CONTENT]

然后,木马打开一个后门,并连接到以下域:

[http://]kartmanscript.com/_upda[REMOVED]

然后,木马从这个远程服务器下载潜在的恶意文件。

预防和清除:

  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新

功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

Downloader.Tandfuy

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

Downloader.Tandfuy是一个木马,它可能是攻击者利用漏洞“Microsoft Internet Explorer CVE-2013-

3897 Memory Corruption Vulnerability (CVE-2013-3897)”攻击受感染计算机后形成。

木马执行时,它可能会创建下列文件:

%SystemDrive%\Net-Temp.ini

%SystemDrive%\NT_Path.jpg

%System%\drivers\etc\Changer.bat

%System%\RpcSvc.psd

%Windir%\Tasks\TespayServer.exe

%System%\drivers\thvoteyfw.sys

%SystemDrive%\[RANDOM NUMBERS].dll

%Temp%\decoderview.exe

%System%\drivers\etc\hosts.ics

%System%\drivers\ahnurla.sys

然后,木马创建以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\13610975\"imgsvc" ="StiSvc", "RpcSvc"

HKEY_LOCAL_MACHINE\SOFTWARE\92476853\Parameters\"ServiceDll" ="%System%\RpcSvc.psd"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "

%System%\userinit.exe,%Windir%\Tasks\TespayServer.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_THVOTEYFW\0000\"DeviceDesc"

 = "thvoteyfw"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_THVOTEYFW\0000\"Service" =

 "thvoteyfw"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ahnurla\"DisplayName" ="ahnurla"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ahnurla\"ImagePath" = %System%\dri

vers\ahnurla.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ahnurla\"Start" = 0x00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ahnurla\Security\"Security" = [BIN

ARY NUMBERS]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"My_Host_URL" = "http://[IP A

DDRESS]:8888/5.txt"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\RouterManagers\Ip\"DL

LPath" = "%SystemDrive%\[RANDOM NUMBERS].dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RpcSvc\"Description" = "[ENCODED S

TRING]"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RpcSvc\"DisplayName" = "Remote Proc

edure Call (RPC) Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RpcSvc\"ImagePath" = "%SystemDrive%

\System32\svchost.exe -k imgsvc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RpcSvc\Security\"Security" = [BINA

RY NUMBERS]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\thvoteyfw\"DisplayName" ="thvoteyf

w"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\thvoteyfw\"ImagePath" = "%System%\

drivers\thvoteyfw.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\thvoteyfw\"Start" = 0x00000003

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\thvoteyfw\"Type"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\thvoteyfw\Security\"Security" = [B

INARY NUMBERS]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\thvoteyfw\Security\"Security" = [B

INARY NUMBERS]

然后,木马可能下载以下威胁:

Backdoor.Ghostnet

Infostealer.Gampass

Downloader

木马会修改主机文件,使得用户登录银行网站时,链接被重定向到恶意网站。

木马可以连接到以下服务器:

174.139.126.66:8888

www.fastkkrr.com:80

1.234.31.142:80

www.kotgamtoa.com:80

www.tandfuyko.com:8888

预防和清除:

  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

专题活动