网络社会征信网

每周病毒预报(2013年12月2日至12月8日)

发布日期:2013-12-02 15:44:44

 

Backdoor.Boda

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

   Backdoor.Boda是一个木马,它在受感染计算机上打开一个后门。

木马执行时,它创建下列文件:

%Temp%\seccenter.xxx

然后,木马将上面的文件复制到以下位置:

%UserProfile%\Application Data\googleupdate.exe

然后,木马创建以下注册表项:

HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run\"Update" = "%UserProfile%\Application Data\googleupdate.exe"

HKEY_CURRENT_USER\Software\Classes\"softbin" = "[BINARY DATA]"

然后,木马检测以下杀毒软件进程,如果存在,则关闭进程:

360tray.exeavp.exekxetray.exeqqpctray.exe

该木马接着打开一个后门,允许远程攻击者获得对计算机的访问。

然后,木马收集系统的相关信息,并且将信息发送到远程的C&C服务器。

预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

  

Trojan.Neverq

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

Trojan.Neverq是一个木马,它窃取受感染计算机上的机密信息。

木马执行时,它将本身注入到以下进程:

iexplore.exechrome.exefirefox.exe

该木马从被感染的计算机中收集信息,并将其发送到远程服务器。它还通过注入浏览器进程修改网页内容。

该木马会创建以下注册表项,达到开机启动的目的:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[random characters]": "regsvr32.exe /s \%SYSTEMROOT%\Documents and Settings\All Users\Application Data\dmahdqe.dat\"""

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"NoProtectedModeBanner" : 0x00000001

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"2500" : 0x00000003

该木马可以执行以下命令:

屏幕截图、窃取FTP凭据、窃取outlook凭据、窃取cookies、窃取存储凭据该木马还会从远程站点下载恶意文件并执行他们。

预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

  

Trojan.Oshidor

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

Trojan.Oshidor是一个木马,它加密受感染计算机上的文件。

木马执行时,它将本身复制到以下位置:

%UserProfile%\Application Data\[FIVE RANDOM CHARACTERS OR NUMBERS].exe

该木马会创建以下注册表项,达到开机启动的目的:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"EpsonPLJDriver" = "%Us

erProfile%\Application Data\[FIVE RANDOM CHARACTERS OR NUMBERS].exe"

该木马还会创建以下注册表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

之后,木马会生成加密密钥,由15个随机的字符或数字的字符串组成。

然后,木马将生成的加密密钥发送到下面的远程C&C服务器:

http://78.129.153.4/addnews/signup.php

如果木马成功连接C&C服务器,服务器将返回两个字符串,木马将这两个字符串保存在以下注册表地址中:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"email" = "[VALUE RECEIVED FROM C&C SERVER]"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"id" = "[VALUE RECEIVED FROM C&C SERVER]"

木马会创建以下文件并在文件中写入字符串“完成”:

%UserProfile%\Application Data\textnote.txt

加密文件则为以下文件:

%UserProfile%\Application Data\textnote.txt.oshit

接下来,该木马搜索以下扩展名的文件并进行加密:

.txt.xls.xlw.docx.doc.cer.key.rtf.xlsm.xlsx.xlc.docm.xlk.htm.chm

.text.ppt.djvu.pdf.lzo.djv.cdx.cdt.cdr.bpg.xfm.dfm.pas.dpk.dpr

.frm.vbp.php.js.wri、、.css.asm.html.jpg.dbx.dbt.dbf.odc.mde.mdb

.sql.abw.pab.vsd.xsf.xsn.pps.lzh.pgp.arj.md.gz.pst.xl

一旦文件被加密,加密的文件保存为以下文件名:

[ORIGINAL FILE NAME].oshit

然后,木马删除原始文件,木马还会再原始文件的文件夹中创建以下文件:

Razblokirovka_failov.txt

之后,木马会在桌面跳出一个提示框,告诉计算机用户,他们的文件已经被加密,要求用户输入密码才能解密。

该木马还会结束以下进程:

taskmgr.exe

regedit.exe

预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

 

 

专题活动