Trojan.Chikdos.A
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Chikdos.A是一个木马,它允许远程攻击者利用受感染计算机发动DDoS攻击。
木马执行时,它创建下列文件:
%ProgramFiles%\DbProtectSupport\fake.cfg
%ProgramFiles%\DbProtectSupport\svchost.exe
然后,木马创建以下属性的服务:
Display Name: LocalSystem
Image Path: %ProgramFiles%\DbProtectSupport\svchost.exe
木马为上述服务创建以下注册表项:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\Security\"Securit
y" = "[HEXADECIMAL VALUE]"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"Type" = "dword:0
0000010"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"Start" = "dword:
00000002"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ObjectName" = "L
ocalSystem"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ImagePath" = "ex
pand:"%PROGRAMfILES%\DbProtectSupport\svchost.exe"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ErrorControl" = "d
word:00000001"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Serv
ice" = "DbProtectSupport"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Leg
acy" = "dword:00000001"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Dev
iceDesc" = "DbProtectSupport"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Con
figFlags" = "dword:00000000"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Cla
ssGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Cla
ss" = "LegacyDriver"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\"NextInst
ance" = "dword:00000001"
木马利用TCP上的59870端口连接到以下域:
cn0803.aiwooolsf.com
然后,它将CPU和网络信息发送给远程攻击者。
然后,它试图进行DDoS攻击。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Downloader.Ponik
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Downloader.Ponik是一个木马,它在受感染计算机上下载更多的恶意程序,它也从受感染计算机上窃取密码。
木马通过垃圾邮件传播。
木马执行时,它创建以下文件:
%TEMP%\[RANDOM CHARACTERS FILE NAME].bat
%UserProfile%\Local Settings\Application Data\pny\pnd.exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft PnD" = "%Use
rProfile%\Local Settings\Application Data\pny\pnd.exe"
木马还创建以下注册表项:
HKEY_CURRENT_USER\Software\WinRAR\"Client Hash" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_CURRENT_USER\Software\WinRAR\"HWID" = "[RANDOM HEXADECIMAL CHARACTERS]"
然后,木马可以连接到以下任何远程站点:
91.231.156.36
[http://]2.enzofavata.com/forum/viewto[REMOVED]
[http://]2.sardiniaexport.com/forum/viewto[REMOVED]
[http://]222119966122.su/clou[REMOVED]
[http://]4.pianetapollo.com/ponyb/gate[REMOVED]
[http://]4.professionalsoft.com/ponyb/gate[REMOVED]
[http://]6.grapaimport.com/ponyb/gate[REMOVED]
[http://]6.grapainterfood.com/ponyb/gate[REMOVED]
[http://]atdsupdate.in/all/old[REMOVED]
[http://]banderbon.cz.cc/file/local/tool[REMOVED]
[http://]bestinsighttours.com/bZ6[REMOVED]
[http://]fokanal.cz.cc/gate[REMOVED]
[http://]milion8dreams.ru/clou[REMOVED]
[http://]mjorart.com/jTc[REMOVED]
[http://]powergames.com.pt/KVG[REMOVED]
[http://]quranaqiq.com/1kH[REMOVED]
[http://]rdquark.com/cAB[REMOVED]
[http://]reymontstore.com/jJW5[REMOVED]
[http://]staugustineblues.com/n8cZZ[REMOVED]
[http://]www.rcrender.com/47NK[REMOVED]
[http://]www.westquimica.com/AuNP[REMOVED]
onylkp.in
weboffice.dyndns-office.com
willowcreekcompany.mobi
木马还可以执行以下操作:
下载其他恶意代码、窃取密码
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更
新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Downloader.Upatre
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Downloader.Upatre是一个木马,它在受感染计算机上下载更多的恶意程序。
木马通过垃圾邮件传播。
木马执行时,它将自身复制为以下文件:
%UserProfile%\Local Settings\Temp\hhcbrnaff.exe
%UserProfile%\Local Settings\Temp\wezeda.exe
然后,木马可以连接到以下链接下载恶意的文件:
gidleybuilders.com/img/tp5.exe
cushinc.com/wp-content/uploads/2012/09/rhc.exe
adamdevarney.com/wp-content/uploads/2013/08/dt8.exe
木马将下载的文件保存为以下文件:
%UserProfile%\Local Settings\Temp\hhgnrddkjee.exe
%UserProfile%\Local Settings\Temp\wezedame.exe
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。