病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2013年12月30日至2014年01月05日)
    时间:2014-03-07

    Trojan.Chikdos.A
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003

    病毒执行体描述:
       Trojan.Chikdos.A是一个木马,它允许远程攻击者利用受感染计算机发动DDoS攻击。

    木马执行时,它创建下列文件:
    %ProgramFiles%\DbProtectSupport\fake.cfg 
    %ProgramFiles%\DbProtectSupport\svchost.exe
    然后,木马创建以下属性的服务:
    Display Name: LocalSystem 
    Image Path: %ProgramFiles%\DbProtectSupport\svchost.exe
    木马为上述服务创建以下注册表项:
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\Security\"Securit
    y" = "[HEXADECIMAL VALUE]"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"Type" = "dword:0
    0000010"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"Start" = "dword:
    00000002"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ObjectName" = "L
    ocalSystem"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ImagePath" = "ex
    pand:"%PROGRAMfILES%\DbProtectSupport\svchost.exe"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ErrorControl" = "d
    word:00000001"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Serv
    ice" = "DbProtectSupport"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Leg
    acy" = "dword:00000001"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Dev
    iceDesc" = "DbProtectSupport"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Con
    figFlags" = "dword:00000000"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Cla
    ssGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Cla
    ss" = "LegacyDriver"
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\"NextInst
    ance" = "dword:00000001"
    木马利用TCP上的59870端口连接到以下域:
    cn0803.aiwooolsf.com
    然后,它将CPU和网络信息发送给远程攻击者。
    然后,它试图进行DDoS攻击。
    预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
    
    Downloader.Ponik
    警惕程度★★★ 
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
       Downloader.Ponik是一个木马,它在受感染计算机上下载更多的恶意程序,它也从受感染计算机上窃取密码。
    木马通过垃圾邮件传播。
    木马执行时,它创建以下文件:
    %TEMP%\[RANDOM CHARACTERS FILE NAME].bat
    %UserProfile%\Local Settings\Application Data\pny\pnd.exe
    然后,木马创建以下注册表项,达到开机启动的目的:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft PnD" = "%Use
    rProfile%\Local Settings\Application Data\pny\pnd.exe"
    木马还创建以下注册表项:
    HKEY_CURRENT_USER\Software\WinRAR\"Client Hash" = "[RANDOM HEXADECIMAL CHARACTERS]"
    HKEY_CURRENT_USER\Software\WinRAR\"HWID" = "[RANDOM HEXADECIMAL CHARACTERS]"
    然后,木马可以连接到以下任何远程站点:
    91.231.156.36
    [http://]2.enzofavata.com/forum/viewto[REMOVED]
    [http://]2.sardiniaexport.com/forum/viewto[REMOVED]
    [http://]222119966122.su/clou[REMOVED]
    [http://]4.pianetapollo.com/ponyb/gate[REMOVED]
    [http://]4.professionalsoft.com/ponyb/gate[REMOVED]
    [http://]6.grapaimport.com/ponyb/gate[REMOVED]
    [http://]6.grapainterfood.com/ponyb/gate[REMOVED]
    [http://]atdsupdate.in/all/old[REMOVED]
    [http://]banderbon.cz.cc/file/local/tool[REMOVED]
    [http://]bestinsighttours.com/bZ6[REMOVED]
    [http://]fokanal.cz.cc/gate[REMOVED]
    [http://]milion8dreams.ru/clou[REMOVED]
    [http://]mjorart.com/jTc[REMOVED]
    [http://]powergames.com.pt/KVG[REMOVED]
    [http://]quranaqiq.com/1kH[REMOVED]
    [http://]rdquark.com/cAB[REMOVED]
    [http://]reymontstore.com/jJW5[REMOVED]
    [http://]staugustineblues.com/n8cZZ[REMOVED]
    [http://]www.rcrender.com/47NK[REMOVED]
    [http://]www.westquimica.com/AuNP[REMOVED]
    onylkp.in
    weboffice.dyndns-office.com
    willowcreekcompany.mobi
    木马还可以执行以下操作:
    下载其他恶意代码、窃取密码
    预防和清除:

      不要点击不明网站;打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更
    新功能。关闭电脑共享功能
    关闭允许远程连接电脑的功能。安装最新的系统补丁。 
     
     

    Downloader.Upatre
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
       Downloader.Upatre是一个木马,它在受感染计算机上下载更多的恶意程序。

    木马通过垃圾邮件传播。
    木马执行时,它将自身复制为以下文件:
    %UserProfile%\Local Settings\Temp\hhcbrnaff.exe
    %UserProfile%\Local Settings\Temp\wezeda.exe
    然后,木马可以连接到以下链接下载恶意的文件:
    gidleybuilders.com/img/tp5.exe
    cushinc.com/wp-content/uploads/2012/09/rhc.exe
    adamdevarney.com/wp-content/uploads/2013/08/dt8.exe
    木马将下载的文件保存为以下文件:
    %UserProfile%\Local Settings\Temp\hhgnrddkjee.exe
    %UserProfile%\Local Settings\Temp\wezedame.exe
    预防和清除:

      不要点击不明网站;打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能关闭允许远程连接电脑的功能。安装最新的系统补丁。