病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2014年01月20日至2014年01月26日)
    时间:2014-03-07
    Trojan.Turla
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
    Trojan.Turla是一个木马,它在受感染计算机上打开一个后门,并窃取信息。
    木马执行时,它创建以下文件:
    %CurrentFolder%\SPUNINST\vt.bin、%Windir%\resin.bin
    %System%\vtmon.bin、%System%\drivers\mrxdmb.sys
    %System%\drivers\nmnu.sys、%Windir%\$NtU*\mtmon.sdb
    %Windir%\$NtU*\scmp.bin、%Windir%\$NtU*\cmp.bin
    木马创建以下注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\Select\"Default" = "01"
    HKEY_LOCAL_MACHINE\SYSTEM\Select\"LastKnownGood" = "01"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"DisplayName"= "nmnu"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"ImagePath" = "%System%\driver
    s\nmnu.sys"
    然后,木马创建以下属性的服务:
    Service name: mrxdmb、Image Path: %System%\drivers\mrxdmb.sys
    然后,木马连接到以下任一远程命令与控制服务器:
    nightday.comxa.com、sanky.sportsontheweb.net
    tiger.netii.net、north-area.bbsindex.com
    木马还执行以下操作:
    在受感染的计算机上打开一个后门、收集和加密敏感信息、发送文件到C&C服务器、加载受感染计算机上的文件、添加新的
    C&C服务地址到注册表、更新自身的驱动程序、添加一个代理、终止进程、将数据写入到一个日志文件
    预防和清除:

      不要点击不明网站;打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

      

    Downloader.Mansain
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server
    2003
    病毒执行体描述:

    Downloader.Mansain是一个木马,它在受感染计算机上下载并执行潜在的恶意文件。
    该木马是通过Hancom Word中的漏洞被安装。
    木马执行时,它创建以下文件:
    %Temp%\ms_1.tmp、%Temp%\~AA.tmp、%Temp%\~AA[RANDOM CHARACTERS].tmp
    %UserProfile%\Application Data\dxdiag\dxdialog.dll、%Windir%\dxset.exe
    木马从以下位置下载并执行文件:[ftp://]66.220.9.50[REMOVED]
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
     
     

    Backdoor.Jarfog
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:

    Backdoor.Jarfog是一个木马,它在受感染计算机上打开一个后门。
    木马执行时,它将自身复制到以下位置:%Temp%\update.jar
    然后,它创建下列文件:%Temp%\update.dat
    木马创建以下注册表项,达到开机启动的目的:
    HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run\"JavaUpdate" = "%Temp%\update.jar"
    然后,木马连接到以下远程命令与控制服务器:
    [http://]www.lingdona.com/ne[REMOVED]
    木马会收集以下信息,并将信息发送到C&C服务器:主机名、操作系统版本、JAVA版本、用户名、进程列表
    然后,木马在受感染的计算机上打开一个后门。
    预防和清除:

      不要点击不明网站;打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。