病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2014年02月24日至2014年03月02日)
    时间:2014-03-07
    Backdoor.Weevil.B
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
    Backdoor.Weevil.B是一个木马,它在受感染计算机上打开一个后门,并窃取信息。
    木马执行时,它会创建下列文件:
    %Temp%\___<RANDOM NUMBER>.tmp
    %System%\awcodc32.dll
    %System%\awdcxc32.dll
    %System%\bootfont.bin
    %System%\jpeg1x32.dll
    %System%\mfcn30.dll
    %System%\vchw9x.dll
    %System%\Drivers\scsimap.sys
    %System%\c_50225.nls
    %System%\c_50227.nls
    %System%\c_50229.nls
    %System%\Bootfont.bin
    该木马会创建以下注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\
    PrefetchParameters\EnablePrefetcher = 2
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\DisplayName = “scsimap”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\ErrorControl = 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\ImagePath = “System32\DRIV
    ERS\scsimap.sys”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Start = 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Type = 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\0 = "Root\LEGACY_SCSI
    MAP\0000"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\Count = 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\NextInstance = 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Security\Security = <stand
    ard 0xA8 bytes>
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Params\Value = <0xAEB8 byte
    s>
    然后,木马在计算机上打开一个后门,并连接到以下远程地址之一:
    nthost.shacknet.nu
    www.covalent.com
    81.0.233.15
    接着,木马会窃取以下信息:
    操作系统信息、硬件特性、用户信息、进程、网络通信
    之后,木马还可以执行以下操作:
    嗅探网络流量、击键记录、监视磁盘活动
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
      
    Trojan.Shadowlock.B
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
    Trojan.Shadowlock.B是一个木马,它在受感染计算机上弹出窗口,要求赎金。
    该木马执行时,会创建下列注册表项:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mshost" = "[DRIVE LETT
    ER]:\[CURRENT DIRECTORY]\[TROJAN FILE NAME].exe"
    它还修改下列注册表项:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = 
    dword:00000000
    然后,木马结束以下进程:
      Explorer、taskmgr、regedit、cmd、Msconfig、rstrui、Skype
    木马会显示以下消息,要求用户填写,满足要求后可以提供用户下载一个文件解锁计算机:
    
      木马实际上并没有锁定计算机,只是结束了之前提到的进程。
     
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。  

    Android.Fakebok
    警惕程度★★★
    影响平台:Android
        Android.Fakebok是一个木马,它用受感染的设备发送短信到额外的号码。

        该木马可能作为一个安装包被下载,它具有以下特点
       1.其中的包名如下:
    Package name: com.facebook 
    APK: facebookx.apk 
    Version: 1.0
      2.权限
    当被安装了木马,它要求一些权限来执行以下操作:
    打开网络连接、发送短信、检查手机当前状态、关于网络访问信息、写入到外部存储设备
      3.安装
    一旦安装完毕,应用程序会显示以下图标:
    
      4.功能: 
    
    
    木马执行时,会显示一条信息,告知用户更新应用程序:
    
    当用户选择更新按钮时,木马发送以下短信道8738:
    SMS 1: KPAH 1 [FIVE DIGIT NUMBER] facebook
    SMS 2: KPAH 2 [FIVE DIGIT NUMBER] facebook
    SMS 3: MGO 2 [FIVE DIGIT NUMBER] facebook
    该木马可以连接到下面的远程地址,用来更新发送的短信内容和额外的电话号码列表:
    [http://]service.10h.vn:8080/mbv-game[REMOVED]
    
    预防和清除:
      不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要尽量不要root,获取系统权限