病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2014年04月21日至2014年04月27日)
    时间:2014-05-09

    Trojan.Gatak
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:

    Trojan.Gatak是一个木马,它在受感染计算机上打开一个后门。
    该木马通过另外的恶意代码传播到受感染计算机。
    感染木马时,木马可能为以下文件之一:
    %UserProfile%\Application Data\Google Talk\googletalk.exe
    %UserProfile%\Application Data\Skype\Phone\Skype.exe
    当执行木马时,它在以下位置创建几个配置文件:
    %UserProfile%\Application Data\Microsoft\[RANDOM FOLDER NAME]\[RANDOM FILE NAME]
    然后,木马创建以下注册表项,达到开机启动的目的:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"googletalk" = "%UserPr
    ofile%\Application Data\Google Talk\googletalk.exe /autostart"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Skype" = "%UserProfile%
    \Application Data\Skype\Phone\Skype.exe\" /nosplash /minimized""
    然后,木马注入自身到以下进程:
    explorer.exe
    木马在计算机TCP的80端口上打开一个后门,并连接到下列远程地址:
    91.207.8.198
    91.211.119.196
    195.16.89.60
    188.72.227.35
    木马也可以连接到以下远程地址:
    famous.famoustattoos.net/booking/read?page=120&ylozseub=ZJRWYZFTYdqbPn*V22pQtQnJ25FsE6u
    cGAyeRJBo
    popa.morgatory.com/sound/cat?n=18&ysqaux=ZJRWYZFTYdspwzffvaxjR25YJX0rngGx
    bog.judaicabyjosh.com/insight/flourence?banner_id=386514&ysqaux=ZJRWYZFTYdspwzffvaxjR25
    YJX0rngGx
    famous.famoustattoos.net/booking/read?page=120&ysqaux=ZJRWYZFTYdspwzffvaxjR25YJX0rngGx
    
    igg.niksonic.com/booking/read?page=120&ysqaux=ZJRWYZFTYdspwzffvaxjR25YJX0rngGx
    surio.cubicksplace.com/sound/cat?n=18&ysqaux=ZJRWYZFTYdspwzffvaxjR25YJX0rngGx
    inc.kevinmilligangallery.com/insight/flourencebanner_id=386514&ysqaux=ZJRWYZFTYdspwzffv
    axjR25YJX0rngGx
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

     

     
    Backdoor.Kihomchi
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
       Backdoor.Kihomchi是一个木马,它在受感染计算机上打开一个后门,并窃取信息,它还可以下载并执行文件。
    该木马执行时,会创建以下文件:
    C:\MPOS.EXE
    C:\MPOS_[RANDOM NUMBER].exe
    C:\Windows\KBankStar_[YEAR OF CREATION]_[MONTH OF CREATION]_[DAY OF CREATION].log
    木马会创建以下注册表项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"METAPOS SERVICE MANA
    GER" = "C:\MPOS_[RANDOM NUMBER].EXE"
    然后,木马打开一个后门,并连接TCP的1080端口到以下远程地址:
    211.43.222.199
    木马记录计算机上的击键记录,并将它们存储在以下位置:
    C:\Windows\KBankStar_[YEAR OF CREATION]_[MONTH OF CREATION]_[DAY OF CREATION].log
    木马会利用后门来执行以下操作:
    发送击键记录到远程地址、下载并执行恶意文件
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

     

     
     
    Android.Virusshield
    警惕程度★★★
    影响平台:Android

        该木马可能作为一个安装包被下载,它具有以下特点:

     
    1.其中的包名如下:
    Package name: com.deviant.security.shield 
    Version: 1 
    Name: Virus Shield
    2.权限
    该木马不要求任何权限
    3.安装
    一旦安装完毕,应用程序会显示以下图标:
    
    4.功能:
    该木马必须手动安装
    该木马收取3.99美金安装应用程序
    该木马休眠1秒后,显示以下信息:
    “扫描完成”、“您的设备式安全的”
    其实,该木马并没有扫描设备
    预防和清除:

    不要下载不明渠道的APP尽可能使用正规APP商店来获取安装包。若非必要尽量不要root,获取系统权限