病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2014年03月03日至2014年03月09日)
    时间:2014-03-07
    Trojan.Dipverdle.B
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
       Trojan.Dipverdle.B是一个木马,它重定向网页,并窃取受感染计算机上的信息。
    木马执行时,它会创建下列文件:
    %UserProfile%\Application Data\Microsoft\Windows\svchost.exe
    该木马会创建以下注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPo
    licy\StandardProfile\AuthorizedApplications\List\"%UserProfile%\Application Data\Micros
    oft\Windows\svchost.exe" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.ex
    e:*:Enabled:Microsoft Windows Update"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"Win
    dowsUpdate" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.exe"
    然后,木马修改以下注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[NETWO
    RK INTERFACE GUID]\"NameServer" = "127.0.0.1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[NETWO
    RK INTERFACE GUID]\"DhcpNameServer" = "127.0.0.1"
    然后,木马会连接到下列远程地址:
    [http://]hoseen45r.com/uplin[REMOVED]
    [http://]62.75.221.37/uplin[REMOVED]
    [http://]setpec14rs.com/uplin[REMOVED]
    [http://]onetimes21s.com/uplin[REMOVED]
    [http://]verification/worlds/test/index[REMOVED]
    之后,木马还可以执行以下操作:
    上传系统信息和恶意软件版本到远程地址、下载并执行文件、修改DNS服务器设置,将WEB流量全部重定向到一个假的网站,
    企图窃取个人信息和财务信息
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
     

    Infostealer.Rezbau
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
       Infostealer.Rezbau是一个木马,它在受感染计算机上窃取信息。

    该木马通过垃圾邮件传播。
    该木马执行时,会将自身复制到以下位置:
    %UserProfile%\Startup\[THREAT FILE NAME].exe
    它收集受感染计算机的以下信息:
    CPU信息、主机名、安装的程序、操作系统信息、启动信息、时区、用户名、截屏
    然后,木马将收集的信息发送到以下远程地址:
    46.166.162.147
    46.4.69.25
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 

    Trojan.Premele
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
       Trojan.Premele是一个木马,它下载潜在的恶意文件到受感染计算机。

    木马通过一个假的Adobe Flash升级程序,被点击确认升级后,下载到电脑并执行。
    木马执行时,它会创建下列文件:
    %AllUsersProfile%\ms[RANDOM LETTERS FILE NAME].exe
    该木马会创建以下注册表项,达到开机启动的目的:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"276
    77" = "%Windir%\docume~1\alluse~1\ms[RANDOM LETTERS FILE NAME].exe"
    然后,木马修改以下注册表项:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"TaskbarN
    oNotification" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"HideSCAH
    ealth" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"HideSCA
    Health" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"Taskbar
    NoNotification" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Start" = "4"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\"Start" = "4"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA"
     = "0"
    然后,木马会连接到下列远程地址:
    [http://]premium.zam99.com/google_checkout/library/and/gate
    [http://]premium.1981tokyo.com/google_checkout/library/and/gate
    [http://]premium.zeez-shock.com/google_checkout/library/and/gate
    之后,木马还可以下载潜在的恶意文件到受感染的计算机。
    预防和清除:

      不要点击不明网站打开不明邮件附件定时经常更新杀毒软件病毒数据库最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能关闭允许远程连接电脑的功能。安装最新的系统补丁。