网络社会征信网

计算机病毒预报(2013年05月20日至2013年05月26日)

发布日期:2013-05-21 09:58:00

W32.Ratavar
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:

  W32.Ratavar是一个病毒,它感染计算机系统的驱动文件。它还试图在受感染的计算机上下载其他的恶意文件。当木马执行时,他会创建以下文件:%Temp%\[RANDOM CHARACTERS].sys它也会感染以下位置的驱动程序:%System%\drivers然后,它会使用下面的注册表子项创建一个服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM REGISTRY SUBKEY VALUE]
    然后,木马连接到以下远程地址:[http://]www.googleudatedb4.com
    然后,它可以尝试下载其他恶意文件到受感染的计算机。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


Downloader.Liftoh
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Downloader.Liftoh是一个木马,它下载其他的恶意程序到受感染的计算机。
该木马运行时,它会复制自身到以下位置:%UserProfile%\Application Data\[RANDOM LETTERS].exe
    然后,木马创建下面的注册表项,达到开机启动木马的目的:
HKEY_CURRENT_USER\Software\[RANDOMLETTERS]\"CurrentPath111" "%WorkingDirectory%\%SampleName%"
    该木马包含一个嵌入式DLL文件被解压到内存。 DLL文件可以下载并执行有效载荷或将它们注入现有的进程。
    该木马还从以下网址下载并执行潜在的恶意文件:
[http://]u.eastmoon.pl/p/c1.[REMOVED]
[http://]t.richlab.pl/p/c1.[REMOVED]
[http://]y.opennews.su/p/c1.[REMOVED]
     已知的,该木马会下载W32.Phopifas。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


Trojan.Modred
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Modred是一个木马,它将受感染的计算机上的网络数据流重定向。
该木马运行时,会创建下列文件:%UserProfile%\ApplicationData\Mozilla\[RANDOMCHARACTERS FILE NAME ONE].dll
%UserProfile%\ApplicationData\Mozilla\[RANDOMCHARACTERS FILE NAME TWO].exe
%Windir%\Tasks\[RANDOM CHARACTERS FILE NAME THREE].job
    然后,它修改下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\"LoadAppInit_DLLs" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\"AppInit_DLLs"
    然后,该木马会监视下列网站的网络流量:
a5.userdail.ru、b5.userdail.ru、c2.userdail.ru、e.mail.ru、google.com、google.com.ua、google.ru、help.mail.ru、m.odnoklassniki.ru、m.vk.com、mail.ru、my.mail.ru、vk.com、www.e.mail.ru、www.
google.com、www.google.com.ua、www.google.ru、www.odnoklassniki.ru、www.yandex.ru、
    然后,木马会后挂系统服务,使连接到上述网站的请求被重定向到下面的远程地址:91.208.16.246
预防和清除:     
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。

专题活动