网络社会征信网

每周病毒预报(2014年7月21日至2014年7月27日)

发布日期:2014-07-23 14:39:25

 Backdoor.Kivars 

 警惕程度★★★

 影响平台:Win 9X/ME/NT/2000/XP/Server 2003

 病毒执行体描述:

 Backdoor.Kivars是一个木马,它在受感染计算机上打开一个后门。木马将自己伪装成一个word文档。木马执行时,创建下列文件:

 %System%\iprips.dll

 %System%\winbs2.dll

 %System%\klog.dat

 %Temp%\NO9907HFEXE.doc

 然后,创建以下属性的服务:

 Display Name: RIP Listening

 Startup Type: Automatic

 创建以下注册表子项登记以上服务:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

 木马还创建下列注册表项:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\"Type" = "120"

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\"ErrorControl" = "1"

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters\"ServiceDll" = "%System%\iprips.dll"

 木马会从受感染计算机收集以下信息:主机名、IP地址、用户名、恶意软件版本、当前进程ID、硬盘卷序列号、最近浏览的目录、桌面目录路径、我的文档目录路径、操作系统默认语言环境、键盘布局

 木马将上述信息发送到以下远程地址:

 gsndomain.ddns.us

 markettaiwan.serveuser.com

 木马在受感染计算机上打开一个后门,允许攻击者执行以下操作:

 模拟键盘输入、模拟鼠标点击、获取显示器设置、结束进程、改变窗口的文本、显示和隐藏窗口、发送消息、删除和重命名文件、执行文件、删除文件和文件夹、创建文件夹、读取文件、下载和上传文件、截图、枚举文件、列出可用的驱动器、击键记录、从受感染计算机删除木马

 预防和清除:

 不要点击不明网站、打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

专题活动