Backdoor.Weevil.B是一个木马，它在受感染计算机上打开一个后门，并窃取信息。

木马执行时，它会创建下列文件：

%Temp%\___<RANDOM NUMBER>.tmp

%System%\awcodc32.dll

%System%\awdcxc32.dll

%System%\bootfont.bin

%System%\jpeg1x32.dll

%System%\mfcn30.dll

%System%\vchw9x.dll

%System%\Drivers\scsimap.sys

%System%\c_50225.nls

%System%\c_50227.nls

%System%\c_50229.nls

%System%\Bootfont.bin

该木马会创建以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\
PrefetchParameters\EnablePrefetcher = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\DisplayName = “scsimap”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\ImagePath = “System32\DRIV
ERS\scsimap.sys”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Start = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\0 = "Root\LEGACY_SCSI
MAP\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\Count = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Enum\NextInstance = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Security\Security = <stand
ard 0xA8 bytes>

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scsimap\Params\Value = <0xAEB8 byte
s>

然后，木马在计算机上打开一个后门，并连接到以下远程地址之一：

nthost.shacknet.nu

www.covalent.com

81.0.233.15

接着，木马会窃取以下信息：

操作系统信息、硬件特性、用户信息、进程、网络通信

之后，木马还可以执行以下操作：

嗅探网络流量、击键记录、监视磁盘活动

预防和清除：
　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。
  
Trojan.Shadowlock.B
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：

Trojan.Shadowlock.B是一个木马，它在受感染计算机上弹出窗口，要求赎金。

该木马执行时，会创建下列注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mshost" = "[DRIVE LETT
ER]:\[CURRENT DIRECTORY]\[TROJAN FILE NAME].exe"

它还修改下列注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = 
dword:00000000

然后，木马结束以下进程：

　　Explorer、taskmgr、regedit、cmd、Msconfig、rstrui、Skype

木马会显示以下消息，要求用户填写，满足要求后可以提供用户下载一个文件解锁计算机：

预防和清除：
　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。  

Android.Fakebok
警惕程度★★★
影响平台：Android
    Android.Fakebok是一个木马，它用受感染的设备发送短信到额外的号码。

    该木马可能作为一个安装包被下载，它具有以下特点
   1．其中的包名如下：

Package name: com.facebook 

APK: facebookx.apk 

Version: 1.0

　　2．权限

当被安装了木马，它要求一些权限来执行以下操作：

打开网络连接、发送短信、检查手机当前状态、关于网络访问信息、写入到外部存储设备

　　3．安装

一旦安装完毕，应用程序会显示以下图标：

　　4．功能： 

木马执行时，会显示一条信息，告知用户更新应用程序：

当用户选择更新按钮时，木马发送以下短信道8738：

SMS 1: KPAH 1 [FIVE DIGIT NUMBER] facebook

SMS 2: KPAH 2 [FIVE DIGIT NUMBER] facebook

SMS 3: MGO 2 [FIVE DIGIT NUMBER] facebook

该木马可以连接到下面的远程地址，用来更新发送的短信内容和额外的电话号码列表:

[http://]service.10h.vn:8080/mbv-game[REMOVED]

预防和清除：
　　不要下载不明渠道的APP，尽可能使用正规APP商店来获取安装包。若非必要，尽量不要root，获取系统权限