病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2014年01月13日至2014年01月19日)
    时间:2014-03-07
     

    Trojan.Osipad
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:

     
    Trojan.Osipad是一个木马,它在受感染计算机上劫持web浏览器执行点击欺诈和广告显示。
    木马执行时,它创建以下文件:
    %Windir%\GuoClient.dll
    %Windir%\CalcRemote.dll
    %Windir%\CalcEngine.dll
    %Windir%\npfs139.sys
    %Windir%\kbdmouse.sys
    %Windir%\C_999223.dat
    %Windir%\oobe\svchost.exe
    木马删除以下web浏览器缓存文件:
    %UserProfile%\Application Data\liebao\User Data\Default\Cache
    %UserProfile%\Application Data\Baidu\browser\DiskCache
    %UserProfile%\Application Data\TaoBrowser\User Data\Default\Cache
    %UserProfile%\Application Data\SogouExplorer\Webkit\Default\Cache
    %UserProfile%\Application Data\Google\Chrome\User Data\Default\Cache
    %UserProfile%\Application Data\360Chrome\Chrome\User Data\Default\Cache
    %UserProfile%\Application Data\360se\ie8data\Temporary Internet Files
    %UserProfile%\Application Data\360se6User Data\Default
    然后,木马在每次windows启动时创建以下属性的服务:
    Display Name: npfs139
    然后,木马连接到以下远程站点接收更新和配置文件:
    http://www.osipad.com/save/[YYMMDD]UpdateCalc[OS VERSION].dll
    [http://]www.qw321.com/client/client_co[REMOVED]
    木马还可以从受感染计算机发送信息到以下地址:
    [http://]osipad.aoyouw.com/api/client_[REMOVED]
    木马还监视以下互联网浏览器:
    explorer.exe、iexplore.exe、Opera.exe、Chrome.exe、Maxthon.exe、QQbrowser.exe、360Chrome.
    exe、liebao.exe、360se.exe、115Chrome.exe、TaoBrowser.exe、TangoWeb.exe、Tango3.exe、Baid
    uBrowser.exe、2345Explorer.exe、SogouExplorer.exe
    如果上述任何程序被执行,该木马会修改浏览器的数据,以便进行点击欺诈。
    该木马还会显示受感染计算机上的弹出式广告。
    预防和清除:
      不要点击不明网站;打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
     

    W32.Sality.AE
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003

        W32.Sality.AE是一个病毒,它在受感染的计算机上感染可执行文件,并试图从网络上下载恶意文件。

     
    病毒执行时,它复制自身为以下文件:
    %System%\drivers\[RANDOM NAME].sys
    然后,病毒创建以下注册表项:
    HKEY_CURRENT_USER\Software\[USER NAME]914
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER
    然后,病毒创建下列注册表项,使其绕过windows防火墙:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile\AuthorizedApplications\List\"[INFECTED FILE]" = "[INFECTED FILE]:*:Enabl
    ed:ipsec"
    病毒修改下列注册表项:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUse
    rOffline" = "0"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA"
     = "0"
    病毒删除下列注册表项:
    HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Obj
    ects
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Ob
    jects
    病毒将自身注册为以下特征的服务:
    Service Name: WMI_MFC_TPSHOKER_80
    Display Name: WMI_MFC_TPSHOKER_80
    Startup Type: Automatic
    然后,它会删除下列文件:
    %System%\drivers\[RANDOM NAME].sys
    病毒停止以下服务:
    ALG、aswUpdSv、avast! Antivirus、avast! Mail Scanner、avast! Web Scanner、AVP、BackWeb Pl
    ug-in – 4476822、bdss、BGLiveSvc、BlackICE、CAISafe、ccEvtMgr、ccProxy、ccSetMgr、F-Prot A
    ntivirus Update Monitor、fsbwsys、FSDFWD、F-Secure Gatekeeper Handler Starter、fshttps、F
    SMA、InoRPC、InoRT、InoTask、ISSVC、KPF4、LavasoftFirewall、LIVESRV、McAfeeFramework、McShi
    eld、McTaskManager、navapsvc、NOD32krn、NPFMntor、NSCService、Outpost Firewall 、ain modul
    e、OutpostFirewall、PAVFIRES、PAVFNSVR、PavProt、PavPrSrv、PAVSRV、PcCtlCom、PersonalFirewal、
    PREVSRV、ProtoPort Firewall 、ervice、PSIMSVC、RapApp、SmcService、SNDSrvc、SPBBCSvc、Syman
    tec Core LC、Tmntsrv、TmPfw、tmproxy、UmxAgent、UmxCfg、UmxLU、UmxPol、vsmon、VSSERV、Webro
    otDesktopFirewallDataService、WebrootFirewall、XCOMM
    病毒感染下面注册表项中所列的所有可执行文件:
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    病毒也感染所有C盘和网络驱动器文件夹中的所有exe和scr文件,除了包含以下字符串:
    SYSTEM、AHEAD
    被感染的文件大小会增加57344字节。
    病毒删除文件名包含以下字符的所有文件:
    .VDB、.AVC、.KEY、drw、_AVPM、A2GUARD、AAVSHIELD、AVAST、ADVCHK、AHNSD、AIRDEFENSE、ALERTS
    VC、ALMON、ALOGSERV、ALSVC、AMON、ANTI-TROJAN、AVZ、ANTIVIR、ANTS、APVXDWIN、ARMOR2NET、AS
    HAVAST、ASHDISP、ASHENHCD、ASHMAISV、ASHPOPWZ、ASHSERV、ASHSIMPL、ASHSKPCK、ASHWEBSV、ASW
    UPDSV、ATCON、ATUPDATER、ATWATCH、AUPDATE、AUTODOWN、AUTOTRACE、AUTOUPDATE、AVCIMAN、AVCON
    SOL、AVENGINE、AVGAMSVR、AVGCC、AVGCC32、AVGCTRL、AVGEMC、AVGFWSRV、AVGNT、AVGNTDD、AVGNTM
    GR、AVGSERV、AVGUARD、AVGUPSVC、AVINITNT、AVKSERV、AVKSERVICE、AVKWCTL、AVP、AVP32、AVPCC、
    AVPM、AVPUPD、AVSCHED32、AVSYNMGR、AVWUPD32、AVWUPSRV、AVXMONITOR9X、AVXMONITORNT、AVXQUAR、
    BACKWEB-4476822、BDMCON、BDNEWS、BDOESRV、BDSS、BDSUBMIT、BDSWITCH、BLACKD、BLACKICE、CAFIX、
    CCAPP、CCEVTMGR、CCPROXY、CCSETMGR、CFIAUDIT、CLAMTRAY、CLAMWIN、CLAW95、CLAW95CF、CLEANER、
    CLEANER3、CLISVC、CMGRDIAN、CUREIT、DEFWATCH、DOORS、DRVIRUS、DRWADINS、DRWEB32W、DRWEBSCD、
    DRWEBUPW、ESCANH95、ESCANHNT、EWIDOCTRL、EZANTIVIRUSREGISTRATIONCHECK、F-AGNT95、FAMEH32、
    FAST、FCH32、FILEMON、FIRESVC、FIRETRAY、FIREWALL、FPAVUPDM、F-PROT95、FRESHCLAM、FRW、FSAV
    32、FSAVGUI、FSBWSYS、F-SCHED、FSDFWD、FSGK32、FSGK32ST、FSGUIEXE、FSM32、FSMA32、FSMB32、F
    SPEX.、FSSM32、F-STOPW、GCASDTSERV、GCASSERV、GIANTANTISPYWAREMAIN、GIANTANTISPYWAREUPDATE
    R、GUARDGUI、GUARDNT、HREGMON、HRRES、HSOCKPE、HUPDATE、IAMAPP、IAMSERV、ICLOAD95、ICLOADNT、
    ICMON、ICSSUPPNT、ICSUPP95、ICSUPPNT、IFACE、INETUPD、INOCIT、INORPC、INORT、INOTASK、INOUP
    TNG、IOMON98、ISAFE、ISATRAY、ISRV95、ISSVC、KAV、KAVMM、KAVPF、KAVPFW、KAVSTART、KAVSVC、KA
    VSVCUI、KMAILMON、KPFWSVC、KWATCH、LOCKDOWN2000、LOGWATNT、LUALL、LUCOMSERVER、LUUPDATE、MC
    AGENT、MCMNHDLR、MCREGWIZ、MCUPDATE、MCVSSHLD、MINILOG、MYAGTSVC、MYAGTTRY、NAVAPSVC、NAVAP
    W32、NAVLU32、NAVW32、NOD32、NEOWATCHLOG、NEOWATCHTRAY、NISSERV、NISUM、NMAIN、NOD32、NORMI
    ST、NOTSTART、NPAVTRAY、NPFMNTOR、NPFMSG、NPROTECT、NSCHED32、NSMDTR、NSSSERV、NSSTRAY、NTR
    TSCAN、NTXCONFIG、NUPGRADE、NVC95、NVCOD、NVCTE、NVCUT、NWSERVICE、OFCPFWSVC、OUTPOST、PAV、
    PAVFIRES、PAVFNSVR、PAVKRE、PAVPROT、PAVPROXY、PAVPRSRV、PAVSRV51、PAVSS、PCCGUIDE、PCCIOMO
    N、PCCNTMON、PCCPFW、PCCTLCOM、PCTAV、PERSFW、PERTSK、PERVAC、PNMSRV、POP3TRAP、POPROXY、PR
    EVSRV、PSIMSVC、QHM32、QHONLINE、QHONSVC、QHPF、QHWSCSVC、RAVMON、RAVTIMER、REALMON、REALMO
    N95、RFWMAIN、RTVSCAN、RTVSCN95、RULAUNCH、SAVADMINSERVICE、SAVMAIN、SAVPROGRESS、SAVSCAN、
    SCAN32、SCANNINGPROCESS、CUREIT、SDHELP、SHSTAT、SITECLI、SPBBCSVC、SPHINX、SPIDERML、SPID
    ERNT、SPIDERUI、SPYBOTSD、SPYXX、SS3EDIT、STOPSIGNAV、SWAGENT、SWDOCTOR、SWNETSUP、SYMLCSVC、
    SYMPROXYSVC、SYMSPORT、SYMWSC、SYNMGR、TAUMON、TBMON、TC、TCA、TCM、TDS-3、TEATIMER、TFAK、
    THAV、THSM、TMAS、TMLISTEN、TMNTSRV、TMPFW、TMPROXY、TNBUTIL、TRJSCAN、UP2DATE、VBA32ECM、V
    BA32IFS、VBA32LDR、VBA32PP3、VBSNTW、VCHK、VCRMON、VETTRAY、VIRUSKEEPER、VPTRAY、VRFWSVC、V
    RMONNT、VRMONSVC、VRRW32、VSECOMR、VSHWIN32、VSMON、VSSERV、VSSTAT、WATCHDOG、WEBPROXY、WE
    BSCANX、WEBTRAP、WGFE95、WINAW32、WINROUTE、WINSS、WINSSNOTIFY、WRADMIN、WRCTRL、XCOMMSVR、
    ZATUTOR、ZAUINST、ZLCLIENT、ZONEALARM
    然后,木马可以连接到以下远程站点并可能下载其他恶意文件:
    [http://]pedmeo222nb.info
    [http://]pzrk.ru
    [http://]technican.w.interia.pl
    [http://]www.kjwre9fqwieluoi.info
    [http://]bpowqbvcfds677.info
    [http://]bmakemegood24.com
    [http://]bperfectchoice1.com
    [http://]bcash-ddt.net
    [http://]bddr-cash.net
    [http://]btrn-cash.net
    [http://]bmoney-frn.net
    [http://]bclr-cash.net
    [http://]bxxxl-cash.net
    [http://]balsfhkewo7i487fksd.info
    [http://]buynvf96.info
    [http://]89.119.67.154/tes[REMOVED]
    [http://]oceaninfo.co.kr/picas[REMOVED]
    [http://]kukutrustnet777.info/home[REMOVED]
    [http://]kukutrustnet888.info/home[REMOVED]
    [http://]kukutrustnet987.info/home[REMOVED]
    [http://]kukutrustnet777.info
    [http://]www.kjwre9fqwieluoi.info
    [http://]kjwre77638dfqwieuoi.info
    病毒阻止访问包含以下字符的域:
    Cureit、Drweb、Onlinescan、Spywareinfo、Ewido、Virusscan、Windowsecurity、Spywareguide、Bi
    tdefender、Panda software、Agnmitum、Virustotal、Sophos、Trend Micro、Etrust.com、Symantec、
    McAfee、F-Secure、Eset.com、Kaspersky
    病毒以以下格式复制到连接到计算机的可移动驱动器中:
    %DriveLetter%:\[RANDOM NAME].exe
    %DriveLetter%:\[RANDOM NAME].cmd
    %DriveLetter%:\[RANDOM NAME].pif
    病毒还在可移动驱动器中创建下列文件,使得可移动驱动器每次连接任何计算机时运行病毒:
    %DriveLetter%:\autorun.inf
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。