Trojan.Turla是一个木马，它在受感染计算机上打开一个后门，并窃取信息。

木马执行时，它创建以下文件：

%CurrentFolder%\SPUNINST\vt.bin、%Windir%\resin.bin

%System%\vtmon.bin、%System%\drivers\mrxdmb.sys

%System%\drivers\nmnu.sys、%Windir%\$NtU*\mtmon.sdb

%Windir%\$NtU*\scmp.bin、%Windir%\$NtU*\cmp.bin

木马创建以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\Select\"Default" = "01"

HKEY_LOCAL_MACHINE\SYSTEM\Select\"LastKnownGood" = "01"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"DisplayName"= "nmnu"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"ImagePath" = "%System%\driver
s\nmnu.sys"

然后，木马创建以下属性的服务：

Service name: mrxdmb、Image Path: %System%\drivers\mrxdmb.sys

然后，木马连接到以下任一远程命令与控制服务器：

nightday.comxa.com、sanky.sportsontheweb.net

tiger.netii.net、north-area.bbsindex.com

木马还执行以下操作：

在受感染的计算机上打开一个后门、收集和加密敏感信息、发送文件到C&C服务器、加载受感染计算机上的文件、添加新的
C&C服务地址到注册表、更新自身的驱动程序、添加一个代理、终止进程、将数据写入到一个日志文件

预防和清除：

　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Downloader.Mansain
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server
2003 病毒执行体描述：

Downloader.Mansain是一个木马，它在受感染计算机上下载并执行潜在的恶意文件。

该木马是通过Hancom Word中的漏洞被安装。

木马执行时，它创建以下文件：

%Temp%\ms_1.tmp、%Temp%\~AA.tmp、%Temp%\~AA[RANDOM CHARACTERS].tmp

%UserProfile%\Application Data\dxdiag\dxdialog.dll、%Windir%\dxset.exe

木马从以下位置下载并执行文件：[ftp://]66.220.9.50[REMOVED]

预防和清除：

　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。 

Backdoor.Jarfog
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：

Backdoor.Jarfog是一个木马，它在受感染计算机上打开一个后门。

木马执行时，它将自身复制到以下位置：%Temp%\update.jar

然后，它创建下列文件：%Temp%\update.dat

木马创建以下注册表项，达到开机启动的目的：

HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run\"JavaUpdate" = "%Temp%\update.jar"

然后，木马连接到以下远程命令与控制服务器：

[http://]www.lingdona.com/ne[REMOVED]

木马会收集以下信息，并将信息发送到C&C服务器：主机名、操作系统版本、JAVA版本、用户名、进程列表

然后，木马在受感染的计算机上打开一个后门。

预防和清除：

　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。