Trojan.Turla
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Turla是一个木马,它在受感染计算机上打开一个后门,并窃取信息。
木马执行时,它创建以下文件:
%CurrentFolder%\SPUNINST\vt.bin、%Windir%\resin.bin
%System%\vtmon.bin、%System%\drivers\mrxdmb.sys
%System%\drivers\nmnu.sys、%Windir%\$NtU*\mtmon.sdb
%Windir%\$NtU*\scmp.bin、%Windir%\$NtU*\cmp.bin
木马创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\Select\"Default" = "01"
HKEY_LOCAL_MACHINE\SYSTEM\Select\"LastKnownGood" = "01"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"DisplayName"= "nmnu"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"ImagePath" = "%System%\driver
s\nmnu.sys"
然后,木马创建以下属性的服务:
Service name: mrxdmb、Image Path: %System%\drivers\mrxdmb.sys
然后,木马连接到以下任一远程命令与控制服务器:
nightday.comxa.com、sanky.sportsontheweb.net
tiger.netii.net、north-area.bbsindex.com
木马还执行以下操作:
在受感染的计算机上打开一个后门、收集和加密敏感信息、发送文件到C&C服务器、加载受感染计算机上的文件、添加新的
C&C服务地址到注册表、更新自身的驱动程序、添加一个代理、终止进程、将数据写入到一个日志文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Downloader.Mansain
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server
2003 病毒执行体描述:
Downloader.Mansain是一个木马,它在受感染计算机上下载并执行潜在的恶意文件。
该木马是通过Hancom Word中的漏洞被安装。
木马执行时,它创建以下文件:
%Temp%\ms_1.tmp、%Temp%\~AA.tmp、%Temp%\~AA[RANDOM CHARACTERS].tmp
%UserProfile%\Application Data\dxdiag\dxdialog.dll、%Windir%\dxset.exe
木马从以下位置下载并执行文件:[ftp://]66.220.9.50[REMOVED]
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Jarfog
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Jarfog是一个木马,它在受感染计算机上打开一个后门。
木马执行时,它将自身复制到以下位置:%Temp%\update.jar
然后,它创建下列文件:%Temp%\update.dat
木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run\"JavaUpdate" = "%Temp%\update.jar"
然后,木马连接到以下远程命令与控制服务器:
[http://]www.lingdona.com/ne[REMOVED]
木马会收集以下信息,并将信息发送到C&C服务器:主机名、操作系统版本、JAVA版本、用户名、进程列表
然后,木马在受感染的计算机上打开一个后门。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。