Trojan.Osipad
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Osipad是一个木马,它在受感染计算机上劫持web浏览器执行点击欺诈和广告显示。
木马执行时,它创建以下文件:
%Windir%\GuoClient.dll
%Windir%\CalcRemote.dll
%Windir%\CalcEngine.dll
%Windir%\npfs139.sys
%Windir%\kbdmouse.sys
%Windir%\C_999223.dat
%Windir%\oobe\svchost.exe
木马删除以下web浏览器缓存文件:
%UserProfile%\Application Data\liebao\User Data\Default\Cache
%UserProfile%\Application Data\Baidu\browser\DiskCache
%UserProfile%\Application Data\TaoBrowser\User Data\Default\Cache
%UserProfile%\Application Data\SogouExplorer\Webkit\Default\Cache
%UserProfile%\Application Data\Google\Chrome\User Data\Default\Cache
%UserProfile%\Application Data\360Chrome\Chrome\User Data\Default\Cache
%UserProfile%\Application Data\360se\ie8data\Temporary Internet Files
%UserProfile%\Application Data\360se6User Data\Default
然后,木马在每次windows启动时创建以下属性的服务:
Display Name: npfs139
然后,木马连接到以下远程站点接收更新和配置文件:
http://www.osipad.com/save/[YYMMDD]UpdateCalc[OS VERSION].dll
[http://]www.qw321.com/client/client_co[REMOVED]
木马还可以从受感染计算机发送信息到以下地址:
[http://]osipad.aoyouw.com/api/client_[REMOVED]
木马还监视以下互联网浏览器:
explorer.exe、iexplore.exe、Opera.exe、Chrome.exe、Maxthon.exe、QQbrowser.exe、360Chrome.
exe、liebao.exe、360se.exe、115Chrome.exe、TaoBrowser.exe、TangoWeb.exe、Tango3.exe、Baid
uBrowser.exe、2345Explorer.exe、SogouExplorer.exe
如果上述任何程序被执行,该木马会修改浏览器的数据,以便进行点击欺诈。
该木马还会显示受感染计算机上的弹出式广告。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
W32.Sality.AE
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
W32.Sality.AE是一个病毒,它在受感染的计算机上感染可执行文件,并试图从网络上下载恶意文件。
病毒执行时,它复制自身为以下文件:
%System%\drivers\[RANDOM NAME].sys
然后,病毒创建以下注册表项:
HKEY_CURRENT_USER\Software\[USER NAME]914
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER
然后,病毒创建下列注册表项,使其绕过windows防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\"[INFECTED FILE]" = "[INFECTED FILE]:*:Enabl
ed:ipsec"
病毒修改下列注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUse
rOffline" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA"
= "0"
病毒删除下列注册表项:
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Obj
ects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Ob
jects
病毒将自身注册为以下特征的服务:
Service Name: WMI_MFC_TPSHOKER_80
Display Name: WMI_MFC_TPSHOKER_80
Startup Type: Automatic
然后,它会删除下列文件:
%System%\drivers\[RANDOM NAME].sys
病毒停止以下服务:
ALG、aswUpdSv、avast! Antivirus、avast! Mail Scanner、avast! Web Scanner、AVP、BackWeb Pl
ug-in – 4476822、bdss、BGLiveSvc、BlackICE、CAISafe、ccEvtMgr、ccProxy、ccSetMgr、F-Prot A
ntivirus Update Monitor、fsbwsys、FSDFWD、F-Secure Gatekeeper Handler Starter、fshttps、F
SMA、InoRPC、InoRT、InoTask、ISSVC、KPF4、LavasoftFirewall、LIVESRV、McAfeeFramework、McShi
eld、McTaskManager、navapsvc、NOD32krn、NPFMntor、NSCService、Outpost Firewall 、ain modul
e、OutpostFirewall、PAVFIRES、PAVFNSVR、PavProt、PavPrSrv、PAVSRV、PcCtlCom、PersonalFirewal、
PREVSRV、ProtoPort Firewall 、ervice、PSIMSVC、RapApp、SmcService、SNDSrvc、SPBBCSvc、Syman
tec Core LC、Tmntsrv、TmPfw、tmproxy、UmxAgent、UmxCfg、UmxLU、UmxPol、vsmon、VSSERV、Webro
otDesktopFirewallDataService、WebrootFirewall、XCOMM
病毒感染下面注册表项中所列的所有可执行文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
病毒也感染所有C盘和网络驱动器文件夹中的所有exe和scr文件,除了包含以下字符串:
SYSTEM、AHEAD
被感染的文件大小会增加57344字节。
病毒删除文件名包含以下字符的所有文件:
.VDB、.AVC、.KEY、drw、_AVPM、A2GUARD、AAVSHIELD、AVAST、ADVCHK、AHNSD、AIRDEFENSE、ALERTS
VC、ALMON、ALOGSERV、ALSVC、AMON、ANTI-TROJAN、AVZ、ANTIVIR、ANTS、APVXDWIN、ARMOR2NET、AS
HAVAST、ASHDISP、ASHENHCD、ASHMAISV、ASHPOPWZ、ASHSERV、ASHSIMPL、ASHSKPCK、ASHWEBSV、ASW
UPDSV、ATCON、ATUPDATER、ATWATCH、AUPDATE、AUTODOWN、AUTOTRACE、AUTOUPDATE、AVCIMAN、AVCON
SOL、AVENGINE、AVGAMSVR、AVGCC、AVGCC32、AVGCTRL、AVGEMC、AVGFWSRV、AVGNT、AVGNTDD、AVGNTM
GR、AVGSERV、AVGUARD、AVGUPSVC、AVINITNT、AVKSERV、AVKSERVICE、AVKWCTL、AVP、AVP32、AVPCC、
AVPM、AVPUPD、AVSCHED32、AVSYNMGR、AVWUPD32、AVWUPSRV、AVXMONITOR9X、AVXMONITORNT、AVXQUAR、
BACKWEB-4476822、BDMCON、BDNEWS、BDOESRV、BDSS、BDSUBMIT、BDSWITCH、BLACKD、BLACKICE、CAFIX、
CCAPP、CCEVTMGR、CCPROXY、CCSETMGR、CFIAUDIT、CLAMTRAY、CLAMWIN、CLAW95、CLAW95CF、CLEANER、
CLEANER3、CLISVC、CMGRDIAN、CUREIT、DEFWATCH、DOORS、DRVIRUS、DRWADINS、DRWEB32W、DRWEBSCD、
DRWEBUPW、ESCANH95、ESCANHNT、EWIDOCTRL、EZANTIVIRUSREGISTRATIONCHECK、F-AGNT95、FAMEH32、
FAST、FCH32、FILEMON、FIRESVC、FIRETRAY、FIREWALL、FPAVUPDM、F-PROT95、FRESHCLAM、FRW、FSAV
32、FSAVGUI、FSBWSYS、F-SCHED、FSDFWD、FSGK32、FSGK32ST、FSGUIEXE、FSM32、FSMA32、FSMB32、F
SPEX.、FSSM32、F-STOPW、GCASDTSERV、GCASSERV、GIANTANTISPYWAREMAIN、GIANTANTISPYWAREUPDATE
R、GUARDGUI、GUARDNT、HREGMON、HRRES、HSOCKPE、HUPDATE、IAMAPP、IAMSERV、ICLOAD95、ICLOADNT、
ICMON、ICSSUPPNT、ICSUPP95、ICSUPPNT、IFACE、INETUPD、INOCIT、INORPC、INORT、INOTASK、INOUP
TNG、IOMON98、ISAFE、ISATRAY、ISRV95、ISSVC、KAV、KAVMM、KAVPF、KAVPFW、KAVSTART、KAVSVC、KA
VSVCUI、KMAILMON、KPFWSVC、KWATCH、LOCKDOWN2000、LOGWATNT、LUALL、LUCOMSERVER、LUUPDATE、MC
AGENT、MCMNHDLR、MCREGWIZ、MCUPDATE、MCVSSHLD、MINILOG、MYAGTSVC、MYAGTTRY、NAVAPSVC、NAVAP
W32、NAVLU32、NAVW32、NOD32、NEOWATCHLOG、NEOWATCHTRAY、NISSERV、NISUM、NMAIN、NOD32、NORMI
ST、NOTSTART、NPAVTRAY、NPFMNTOR、NPFMSG、NPROTECT、NSCHED32、NSMDTR、NSSSERV、NSSTRAY、NTR
TSCAN、NTXCONFIG、NUPGRADE、NVC95、NVCOD、NVCTE、NVCUT、NWSERVICE、OFCPFWSVC、OUTPOST、PAV、
PAVFIRES、PAVFNSVR、PAVKRE、PAVPROT、PAVPROXY、PAVPRSRV、PAVSRV51、PAVSS、PCCGUIDE、PCCIOMO
N、PCCNTMON、PCCPFW、PCCTLCOM、PCTAV、PERSFW、PERTSK、PERVAC、PNMSRV、POP3TRAP、POPROXY、PR
EVSRV、PSIMSVC、QHM32、QHONLINE、QHONSVC、QHPF、QHWSCSVC、RAVMON、RAVTIMER、REALMON、REALMO
N95、RFWMAIN、RTVSCAN、RTVSCN95、RULAUNCH、SAVADMINSERVICE、SAVMAIN、SAVPROGRESS、SAVSCAN、
SCAN32、SCANNINGPROCESS、CUREIT、SDHELP、SHSTAT、SITECLI、SPBBCSVC、SPHINX、SPIDERML、SPID
ERNT、SPIDERUI、SPYBOTSD、SPYXX、SS3EDIT、STOPSIGNAV、SWAGENT、SWDOCTOR、SWNETSUP、SYMLCSVC、
SYMPROXYSVC、SYMSPORT、SYMWSC、SYNMGR、TAUMON、TBMON、TC、TCA、TCM、TDS-3、TEATIMER、TFAK、
THAV、THSM、TMAS、TMLISTEN、TMNTSRV、TMPFW、TMPROXY、TNBUTIL、TRJSCAN、UP2DATE、VBA32ECM、V
BA32IFS、VBA32LDR、VBA32PP3、VBSNTW、VCHK、VCRMON、VETTRAY、VIRUSKEEPER、VPTRAY、VRFWSVC、V
RMONNT、VRMONSVC、VRRW32、VSECOMR、VSHWIN32、VSMON、VSSERV、VSSTAT、WATCHDOG、WEBPROXY、WE
BSCANX、WEBTRAP、WGFE95、WINAW32、WINROUTE、WINSS、WINSSNOTIFY、WRADMIN、WRCTRL、XCOMMSVR、
ZATUTOR、ZAUINST、ZLCLIENT、ZONEALARM
然后,木马可以连接到以下远程站点并可能下载其他恶意文件:
[http://]pedmeo222nb.info
[http://]pzrk.ru
[http://]technican.w.interia.pl
[http://]www.kjwre9fqwieluoi.info
[http://]bpowqbvcfds677.info
[http://]bmakemegood24.com
[http://]bperfectchoice1.com
[http://]bcash-ddt.net
[http://]bddr-cash.net
[http://]btrn-cash.net
[http://]bmoney-frn.net
[http://]bclr-cash.net
[http://]bxxxl-cash.net
[http://]balsfhkewo7i487fksd.info
[http://]buynvf96.info
[http://]89.119.67.154/tes[REMOVED]
[http://]oceaninfo.co.kr/picas[REMOVED]
[http://]kukutrustnet777.info/home[REMOVED]
[http://]kukutrustnet888.info/home[REMOVED]
[http://]kukutrustnet987.info/home[REMOVED]
[http://]kukutrustnet777.info
[http://]www.kjwre9fqwieluoi.info
[http://]kjwre77638dfqwieuoi.info
病毒阻止访问包含以下字符的域:
Cureit、Drweb、Onlinescan、Spywareinfo、Ewido、Virusscan、Windowsecurity、Spywareguide、Bi
tdefender、Panda software、Agnmitum、Virustotal、Sophos、Trend Micro、Etrust.com、Symantec、
McAfee、F-Secure、Eset.com、Kaspersky
病毒以以下格式复制到连接到计算机的可移动驱动器中:
%DriveLetter%:\[RANDOM NAME].exe
%DriveLetter%:\[RANDOM NAME].cmd
%DriveLetter%:\[RANDOM NAME].pif
病毒还在可移动驱动器中创建下列文件,使得可移动驱动器每次连接任何计算机时运行病毒:
%DriveLetter%:\autorun.inf
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
