Trojan.Droidpak
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Droidpak是一个木马,它在受感染计算机上下载一个恶意的APK安装文件,并自动安装到任意链接到计算
机上的安卓设备。
木马执行时,它创建以下文件:%System%\flashmx32.xtl
木马还创建以下文件夹:%Windir%\CrainingApkConfig
然后,木马创建以下属性的服务:Startup Type: Automatic
Image Path: %SystemRoot%\system32\svchost -k flashmx
Display Name: Object Update Monitor
木马为了登记上述服务,创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashmx
然后,木马连接到以下远程地址下载一个配置文件:
[http://]xia2.dyndns-web.com/iconf[REMOVED]
然后,木马利用包含在配置文件中的一个URL链接下载一个文件,并保存到以下位置:
%Windir%\CrainingApkConfig\AV-cdk.apk (Android.Fakebank.B)
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Miuref
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Miuref是一个木马,它在受感染计算机上下载恶意文件,并利用受感染的计算机进行点击欺诈。
该木马是通过Hancom Word中的漏洞被安装。
木马执行时,它创建以下文件:
%UserProfile%\Local Settings\Application Data\UQmedia\BluetoothUtilperf.1
%UserProfile%\Administrator\Local Settings\Application Data\UQmedia\BluetoothUtilperf.d
ll
%Temp%\rs.dat
%Temp%\rzkxixls.exe
%Temp%\setup.dat
木马为了达到开机启动的目的,创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"UQmedia" = "regsvr32.e
xe "%UserProfile%\Administrator\Local Settings\Application Data\UQmedia\BluetoothUtilpe
rf.dll""
木马还会创建以下注册表子项:
HKEY_CURRENT_USER\Software\UQmedia
木马连接到下列远程地址:
176.9.245.16
木马还可能下载其他的恶意文件,并使用受感染的计算机进行点击欺诈。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Hehe
警惕程度★★★
影响平台:Android
Android.Hehe是一个木马,它阻止安卓设备上的来电和短信,并从受感染的设备上窃取信息。
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
com.google.android.v54
com.google.android.v54new
Name: android.security.component
2.权限
当被安装了木马,它要求一些权限来执行以下操作:
监测,读,写并创建新的短信、打开网络连接、检查手机的当前状态、读取外部存储、使手机震动、装载或卸载可移动存储
上的文件、关于网络访问信息、发起电话呼叫、允许访问低级别的电源管理、读取用户联系人数据、创建新的联系人数据、
关于无线网络状态信息的访问、写入外部存储设备、安装软件包、接入位置信息,如小区ID或wifi、接入位置信息,如GP
S信息、改变wifi连接状态
3.安装
一旦安装完毕,应用程序会显示以下图标:

4.功能:
木马伪装成安卓的安全软件。
一旦木马执行,它会显示一个页面,告诉用户该软件是最新版本:

该木马从应用程序页面隐藏其图标。
接下来,它连接一个C&C服务器,以便接受电话号码列表,如果木马检测到它是在模拟器中运行,它不会连接C&C服务器。
木马监视设备上的电话和短信。如果收到电话和短信,木马会抑制安卓设备显示通知,并删除设备上的日志信息或被调用的
痕迹。
封锁的短信都记录在一个内部数据库中,并上传到C&C服务器。
该木马具有自我更新的能力。
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限。