网络社会征信网

计算机病毒预报(2013年06月03日至2013年06月09日)

发布日期:2013-06-03 15:26:44

Trojan.Blackrev
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003病毒执行体描述:
    Trojan.Blackrev是一个木马,它接收远程的控制与命令服务器发出的指令,可能使受感染的计算机发动DDoS攻击。
    当木马执行时,它会使受感染计算机立勇僵尸主机网络与以下远程主机进行通信,请求注册:
[http://]clfrev.ru/113/bot/gate[REMOVED]
[http://]clfrev.ru/rev/panel/gate[REMOVED]
[http://]clfrev.ru/rev/gate[REMOVED]
    然后,它可能结束下列进程:
explorer.exe、mss.exe、winlogon.exe
    然后,它会向以下地址请求发起DDoS攻击的目标地址列表:
http://clfrev.ru/113/bot/gate.php?cmd=urls
http://clfrev.ru/rev/panel/gate.php?cmd=urls
http://clfrev.ru/rev/gate.php?cmd=urls
    接着,它可能通过DDoS攻击对受感染计算机进行以下操作:
Perform ICMP,SYN, and UDP floods
Perform UDP and TCP floods with appended dataSend multiple GET and POST requests to certain Web pages
    它也可以执行以下操作:下载并执行文件、结束僵尸机进程、休眠一小时、停止当前攻击、重启计算机
     该木马也可能修改受感染计算机上的访问控制列表ACL。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Syndicasec
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Trojan.Syndicasec是一个木马,它下载其他的恶意程序到受感染的计算机,并窃取计算机上的信息。
    该木马运行时,它会创建下列文件:
%System%\cryptbase.dll
%Temp%\gupdate.exe
    然后,它从受感染的计算机上搜集以下信息:
主机名、MAC地址、操作系统版本
    然后,木马将获取的信息发送到以下远程地址:
[http://]lob131313.skyrock.com/rss[REMOVED]
[http://]lobsang362.wordpress.com/fe[REMOVED]
[http://]sugersuger.thoughts.com/fe[REMOVED]
    该木马从上述地址,下载以各JS脚本,并执行它。
预防和清除:
   不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Lapka
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    Trojan.Lapka是一个木马,它在受感染的计算机上打开一个后门。
    该木马运行时,会复制自身为以下文件:
%System%\wininitg.exe
    然后,该木马创建下列文件:
%System%\Black.dll
%System%\RCX1.tmp
%System%\RCX2.tmp
%System%\drivers\diskflt.sys
%System%\drivers\passthru.sys
%SystemDrive%\netsf.inf
%SystemDrive%\netsf_m.inf
%SystemDrive%\passthru.sys
%Temp%\install.bat
%Temp%\netsf.inf
%Temp%\netsf_m.inf
%Temp%\passthru.sys
%Temp%\snetcfg.exe
%Windir%\LastGood\system32\DRIVERS\passthru.sys
%Windir%\inf\netsf.inf
%Windir%\inf\netsf_m.inf
%Windir%\inf\passthru.sys
    然后,它创建下列注册表项,将自身注册为系统服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Passthru\"DisplayName" = "Passthru Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Passthru\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Passthru\"ImagePath" = "system32\DRIVERS\passthru.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Passthru\"Start" = "3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Passthru\"Type" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Passthru\Security\"Security" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32 Tool\"Description" = "win32 Tool"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32 Tool\"DisplayName" = "win32 Tool"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32 Tool\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32 Tool\"ImagePath" = "%System%\wininitg.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32 Tool\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32 Tool\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32 Tool\"Type" = "16"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32 Tool\Security\"Security" = "[BINARY DATA]"
    服务特征为:
Startup type: Automatic
Image path: %System%\wininitg.exe
Display name: win32 Tool  
Startup type: Manual
Image path: system32\DRIVERS\passthru.sys
Display name: Passthru Service
    然后,该木马会创建下列注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_TOOL\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_TOOL\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_TOOL\0000\"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_TOOL\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_TOOL\0000\"DeviceDesc" = "win32 Tool"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_TOOL\0000\"Legacy" ="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_TOOL\0000\"Service" ="win32 Tool"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\"Characteristics" = "17424"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\"ComponentId"="ms_passthru"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\"Description" = "Passthru Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\"InfPath" = "netsf.inf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\"InfSection"="Passthru.ndi"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\Ndi\"FilterClass"="failove"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\Ndi\"FilterDeviceInfId"="ms_passthrump"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\Ndi\"HelpText" = "Passthru Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\Ndi\"Service" = "Passthru"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\Ndi\Interfaces\"FilterMediaTypes" = "ethernet, tokenring, fddi, wan"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\Ndi\Interfaces\"LowerRange" = "nolower"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\Ndi\Interfaces\"UpperRange" = "noupper"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8E1E2F6F-2396-486E-BCE0-955C7272C431}\Parameters\"Param1" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\MS_PASSTHRUMP,00\"HardwareID" = "ms_passthrump"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\MS_PASSTHRUMP\0000\"Class" = "Net"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\MS_PASSTHRUMP\0000\"ClassGUID"="{4D36E972-E325-11CE-BFC1-08002BE10318}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\"Fuck_Time" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diskflt\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diskflt\"Start" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diskflt\"Tag" = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diskflt\"Type" = "1"
    然后,木马会修改以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318},06\Linkage\"UpperBind" = "Tcpip"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318},08\Linkage\"UpperBind" = "RasPppoe,Ndisuio,Tcpip"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318},10\Linkage\"UpperBind" = "RasPppoe,Ndisuio,Tcpip"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\"Config" = "[BINARY DATA]"
    然后,它试图在以下链接建立一个8699端口:
1000.ggxiaozi.com
    然后,木马以下列格式发送一个纯文本字符串到上述地址:
[VERSION][OPERATING SYSTEM][CPU_MHZ]
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。

专题活动