网络社会征信网

计算机病毒预报(2013年08月26日至2013年09月01日)

发布日期:2013-09-24 17:22:44

Trojan.Bladabindi
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003病毒执行体描述: 
    Trojan.Bladabindi是一个木马,它在受感染的计算机上窃取信息。
    木马执行时,会复制自身到以下位置:
%Temp%\Trojan.exe
    该木马还会创建以下文件:
%UserProfile%\StartMenu\Programs\Startup\[RANDOM FILE NAME].exe
    该木马会创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[RANDOM FILE NAME]"="%Temp%\Trojan.exe"
    然后,木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\Trojan.exe" = "%Temp%\Trojan.exe:*:Enabled:Trojan.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\Trojan.exe" = "%Temp%\Trojan.exe:*:Enabled:Trojan.exe"
    该木马会记录所有打开窗口的标题和击键记录,将收集到的数据保存在以下文件:
%Temp%\Trojan.exe.tmp
    所收集的数据随后被发送到一个预定的远程地址。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Nineblog
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
    Backdoor.Nineblog是一个木马,它在受感染的计算机上打开一个后门。
    木马执行时,会创建以下文件:
%UserProfile%\Application Data\Microsoft\Windows\Microsoft-Experance-Improve.vbe
%UserProfile%\Application Data\RECYCLER\desktop.ini
%UserProfile%\ApplicationData\RECYCLER\Microsoft-Windows-DiskCleaner.vbe
%Windir%\Tasks\Microsoft-Experance-Improve.job
    该木马会创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft-Windows-DiskCleaner\"wscript.exe" = "%DriveLetter%\Documents and Settings\Administrator\Application Data\RECYCLER\Microsoft-Windows-DiskCleaner.vbe"
    然后,木马连接以下远程地址:
https://ent.wikaba.com/9blog/client.php
    然后发送以下信息到上述远程地址:
主机名、正在运行的进程列表
   然后,木马打开一个后门,并在受感染的计算机上下载并执行恶意的vbs脚本。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
Backdoor.Vidgrab
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
    Backdoor.Vidgrab是一个木马,它在受感染的计算机上打开一个后门。
    该木马执行时,会创建以下文件:
%UserProfile%\Application Data\temp\temp1.exe
%UserProfile%\Application Data\360\Live360.exe
%UserProfile%\users.bin
%Windir%\fxsst.dll
    该木马会创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ukey" = "%UserProfile%\Application Data\360\Live360.exe"
    然后,木马创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\rar\ActiveSettings
HKEY_LOCAL_MACHINE\SOFTWARE\rar\s
HKEY_LOCAL_MACHINE\SOFTWARE\rar\data
然后,该木马连接到以下IP地址和端口:
202.130.112.231:8080
112.121.182.150:8080
   然后,该木马在受感染计算机上打开一个后门,允许攻击者执行以下操作:
更改DNS设置、检查木马是否被监视或者调试、提升权限、执行任意命令、从web浏览器获取自动完成的缓存、将代码注入到explorer.exesvchost.exe进程、击键记录、避开Eset,卡巴斯基,360等安全产品的检测、打开远程shell命令、音频录制、嗅探网络流量、窃取电子邮件地址,账户,密码和数字证书。
预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
 
 
 

专题活动