计算机病毒预报（2013年12月30日至2014年01月05日）-信息化处/信息化服务中心

病毒预警

联系我们

病毒预警

首页 > 病毒预警 > 正文

计算机病毒预报（2013年12月30日至2014年01月05日）

时间：2014-03-07

Trojan.Chikdos.A
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
　　　Trojan.Chikdos.A是一个木马，它允许远程攻击者利用受感染计算机发动DDoS攻击。

木马执行时，它创建下列文件：

%ProgramFiles%\DbProtectSupport\fake.cfg

%ProgramFiles%\DbProtectSupport\svchost.exe

然后，木马创建以下属性的服务：

Display Name: LocalSystem

Image Path: %ProgramFiles%\DbProtectSupport\svchost.exe

木马为上述服务创建以下注册表项：

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\Security\"Securit
y" = "[HEXADECIMAL VALUE]"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"Type" = "dword:0
0000010"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"Start" = "dword:
00000002"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ObjectName" = "L
ocalSystem"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ImagePath" = "ex
pand:"%PROGRAMfILES%\DbProtectSupport\svchost.exe"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\DbProtectSupport\"ErrorControl" = "d
word:00000001"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Serv
ice" = "DbProtectSupport"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Leg
acy" = "dword:00000001"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Dev
iceDesc" = "DbProtectSupport"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Con
figFlags" = "dword:00000000"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Cla
ssGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\0000\"Cla
ss" = "LegacyDriver"

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_DBPROTECTSUPPORT\"NextInst
ance" = "dword:00000001"

木马利用TCP上的59870端口连接到以下域：

cn0803.aiwooolsf.com

然后，它将CPU和网络信息发送给远程攻击者。

然后，它试图进行DDoS攻击。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Downloader.Ponik
警惕程度★★★ 
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
　　　Downloader.Ponik是一个木马，它在受感染计算机上下载更多的恶意程序，它也从受感染计算机上窃取密码。

木马通过垃圾邮件传播。

木马执行时，它创建以下文件：

%TEMP%\[RANDOM CHARACTERS FILE NAME].bat

%UserProfile%\Local Settings\Application Data\pny\pnd.exe

然后，木马创建以下注册表项，达到开机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft PnD" = "%Use
rProfile%\Local Settings\Application Data\pny\pnd.exe"

木马还创建以下注册表项：

HKEY_CURRENT_USER\Software\WinRAR\"Client Hash" = "[RANDOM HEXADECIMAL CHARACTERS]"

HKEY_CURRENT_USER\Software\WinRAR\"HWID" = "[RANDOM HEXADECIMAL CHARACTERS]"

然后，木马可以连接到以下任何远程站点：

91.231.156.36

[http://]2.enzofavata.com/forum/viewto[REMOVED]

[http://]2.sardiniaexport.com/forum/viewto[REMOVED]

[http://]222119966122.su/clou[REMOVED]

[http://]4.pianetapollo.com/ponyb/gate[REMOVED]

[http://]4.professionalsoft.com/ponyb/gate[REMOVED]

[http://]6.grapaimport.com/ponyb/gate[REMOVED]

[http://]6.grapainterfood.com/ponyb/gate[REMOVED]

[http://]atdsupdate.in/all/old[REMOVED]

[http://]banderbon.cz.cc/file/local/tool[REMOVED]

[http://]bestinsighttours.com/bZ6[REMOVED]

[http://]fokanal.cz.cc/gate[REMOVED]

[http://]milion8dreams.ru/clou[REMOVED]

[http://]mjorart.com/jTc[REMOVED]

[http://]powergames.com.pt/KVG[REMOVED]

[http://]quranaqiq.com/1kH[REMOVED]

[http://]rdquark.com/cAB[REMOVED]

[http://]reymontstore.com/jJW5[REMOVED]

[http://]staugustineblues.com/n8cZZ[REMOVED]

[http://]www.rcrender.com/47NK[REMOVED]

[http://]www.westquimica.com/AuNP[REMOVED]

onylkp.in

weboffice.dyndns-office.com

willowcreekcompany.mobi

木马还可以执行以下操作：

下载其他恶意代码、窃取密码

预防和清除：

　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更
新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Downloader.Upatre
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
　　　Downloader.Upatre是一个木马，它在受感染计算机上下载更多的恶意程序。

木马通过垃圾邮件传播。

木马执行时，它将自身复制为以下文件：

%UserProfile%\Local Settings\Temp\hhcbrnaff.exe

%UserProfile%\Local Settings\Temp\wezeda.exe

然后，木马可以连接到以下链接下载恶意的文件：

gidleybuilders.com/img/tp5.exe

cushinc.com/wp-content/uploads/2012/09/rhc.exe

adamdevarney.com/wp-content/uploads/2013/08/dt8.exe

木马将下载的文件保存为以下文件：

%UserProfile%\Local Settings\Temp\hhgnrddkjee.exe

%UserProfile%\Local Settings\Temp\wezedame.exe

预防和清除：

　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。