Trojan.Gatak
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Gatak是一个木马,它在受感染计算机上打开一个后门。
该木马通过另外的恶意代码传播到受感染计算机。
感染木马时,木马可能为以下文件之一:
%UserProfile%\Application Data\Google Talk\googletalk.exe
%UserProfile%\Application Data\Skype\Phone\Skype.exe
当执行木马时,它在以下位置创建几个配置文件:
%UserProfile%\Application Data\Microsoft\[RANDOM FOLDER NAME]\[RANDOM FILE NAME]
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"googletalk" = "%UserPr
ofile%\Application Data\Google Talk\googletalk.exe /autostart"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Skype" = "%UserProfile%
\Application Data\Skype\Phone\Skype.exe\" /nosplash /minimized""
然后,木马注入自身到以下进程:
explorer.exe
木马在计算机TCP的80端口上打开一个后门,并连接到下列远程地址:
91.207.8.198
91.211.119.196
195.16.89.60
188.72.227.35
木马也可以连接到以下远程地址:
famous.famoustattoos.net/booking/read?page=120&ylozseub=ZJRWYZFTYdqbPn*V22pQtQnJ25FsE6u
cGAyeRJBo
popa.morgatory.com/sound/cat?n=18&ysqaux=ZJRWYZFTYdspwzffvaxjR25YJX0rngGx
bog.judaicabyjosh.com/insight/flourence?banner_id=386514&ysqaux=ZJRWYZFTYdspwzffvaxjR25
YJX0rngGx
famous.famoustattoos.net/booking/read?page=120&ysqaux=ZJRWYZFTYdspwzffvaxjR25YJX0rngGx
igg.niksonic.com/booking/read?page=120&ysqaux=ZJRWYZFTYdspwzffvaxjR25YJX0rngGx
surio.cubicksplace.com/sound/cat?n=18&ysqaux=ZJRWYZFTYdspwzffvaxjR25YJX0rngGx
inc.kevinmilligangallery.com/insight/flourencebanner_id=386514&ysqaux=ZJRWYZFTYdspwzffv
axjR25YJX0rngGx
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Kihomchi
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Kihomchi是一个木马,它在受感染计算机上打开一个后门,并窃取信息,它还可以下载并执行文件。
该木马执行时,会创建以下文件:
C:\MPOS.EXE
C:\MPOS_[RANDOM NUMBER].exe
C:\Windows\KBankStar_[YEAR OF CREATION]_[MONTH OF CREATION]_[DAY OF CREATION].log
木马会创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"METAPOS SERVICE MANA
GER" = "C:\MPOS_[RANDOM NUMBER].EXE"
然后,木马打开一个后门,并连接TCP的1080端口到以下远程地址:
211.43.222.199
木马记录计算机上的击键记录,并将它们存储在以下位置:
C:\Windows\KBankStar_[YEAR OF CREATION]_[MONTH OF CREATION]_[DAY OF CREATION].log
木马会利用后门来执行以下操作:
发送击键记录到远程地址、下载并执行恶意文件
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Virusshield
警惕程度★★★
影响平台:Android
该木马可能作为一个安装包被下载,它具有以下特点:
1.其中的包名如下:
Package name: com.deviant.security.shield
Version: 1
Name: Virus Shield
2.权限
该木马不要求任何权限
3.安装
一旦安装完毕,应用程序会显示以下图标:
4.功能:
该木马必须手动安装
该木马收取3.99美金安装应用程序
该木马休眠1秒后,显示以下信息:
“扫描完成”、“您的设备式安全的”
其实,该木马并没有扫描设备
预防和清除:
不要下载不明渠道的APP,尽可能使用正规APP商店来获取安装包。若非必要,尽量不要root,获取系统权限
