Backdoor.Miancha是一个木马，它在受感染计算机上打开一个后门，并将窃取的信息发送到远程地址。

木马执行时，它创建以下文件：

%Windir%\.ini

%Windir%\Temp\install.ocx

%Windir%\Temp\instructions.pdf

%Windir%\Temp\instructions64.pdf

木马创建以下注册表项，达到开机启动的目的：

HKUSERS\.default\Software\Classes\CLSID\{B12AE898-D056-4378-A844-6D393FE37956}\InProcSe
rver32\@ = expand:"C:\WINDOWS\temp\install.ocx"

HKUSERS\.default\Software\Classes\CLSID\{B12AE898-D056-4378-A844-6D393FE37956}\InProcSe
rver32\"ThreadingModel" = "Apartment"

然后，木马连接到以下远程服务器，并打开一个后门：

testqweasd.tk TCP port 443

木马会窃取受感染计算机的以下信息发送给攻击者：

系统版本、主机名、IP地址、CPU信息

然后，木马还会从远程地址下载并解密以下文件：

%Windir%\Temp\pamtrop.ocx

%Windir%\Temp\oiduas.ocx

%Windir%\Temp\oedivs.ocx

%Windir%\Temp\secivress.ocx

%Windir%\Temp\tidegers.ocx

%Windir%\Temp\ssecorps.ocx

%Windir%\Temp\draobyeks.ocx

%Windir%\Temp\llehss.ocx

%Windir%\Temp\elifs.ocx

%Windir%\Temp\neercss.ocx

预防和清除：
　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。
关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

该木马执行时，不断的检查受感染计算机上的剪贴板里的内容，以便找到一个使用波兰银行账户号码的标准格式的序列
号。
　　　如果木马发现了匹配这种格式的序列号，它会使用以下银行账户号码来替换原有的号码：

461090007548304710[REMOVED]

预防和清除：

　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。 
 

Android.Faketaobao.B
警惕程度★★★
影响平台：Android

  　　  Android.Faketaobao.B是一个木马，它拦截安卓设备收到的SMS消息，并且发送该消息给远程攻击者。

    该木马可能作为一个安装包被下载，它具有以下特点：

1．其中的包名如下：

Package name: com.jiuaefu.bjqese 

Version: 1.0 

Name: Taobao Share

2．权限

当被安装了木马，它要求一些权限来执行以下操作：

监控和发送短信、自动运行、确保其他应用程序无法使用设备管理员权限

3．安装

一旦安装完毕，应用程序会显示以下图标：

4．功能：

木马执行时，它会发送信息告知安装完成。

然后，木马显示如下页面，要求设备用户给予该木马程序一个管理员权限：

  该木马拦截设备收到的短消息，并转发给攻击者。

预防和清除：

　　不要下载不明渠道的APP，尽可能使用正规APP商店来获取安装包。若非必要，尽量不要root，获取系统权限。