网络社会征信网

每周病毒预报(2013年11月4日至11月10日)

发布日期:2013-11-04 14:37:57


Trojan.Dipverdle
警惕程度★★★
影响平台:Win 9X
/ME/NT/2000/XP/Server 2003等
病毒执行体描述:
Trojan.Dipverdle是一个木马,它可能下载其他恶意文件到受感染的计算机。
木马执行时,它创建下列文件:
%UserProfile%\Application Data\Microsoft\Windows\svchost.exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"Wind
owsUpdate" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.exe"
然后,木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPo
licy\StandardProfile\AuthorizedApplications\List\"%UserProfile%\Application Data\Micros
oft\Windows\svchost.exe" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.ex
e:*:Enabled:Microsoft Windows Update"
HKEY_CURRENT_USER\Identities\"Identity_TDN" = "[UNIQUE ID]"
然后,木马创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[NETWO
RK ADAPTER ID]\Nameserver
木马通过上面的注册表数据修改,可能改变计算机的DNS设置。
然后,木马禁用防火墙和Windows 安全服务。
然后,木马连接到下面的远程地址,接受命令:
[http://]62.76.176.214/c[REMOVED]
[http://]6r3u8874dfd9.com/c[REMOVED]
[http://]r95u8114dfd9.com/c[REMOVED]
[http://]r55u87799hd39.com/c[REMOVED]
木马上传以下信息到上述远程地址:
受感染计算机的ID、恶意软件版本、下载状态
预防和清除:
     不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


 

专题活动