Trojan.Rokamal
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Rokamal是一个木马,它在受感染计算机上打开一个后门,并窃取信息,还可以在计算机上执行DDoS攻击。
木马执行时,木马创建以下文件:
%UserProfile%\Application Data\msconfig.ini
%ProgramFiles%\Startup\Google.com.url
%UserProfile%\Application Data\[9 RANDOM DIGITS].exe
%SystemDrive%\{$[16 RANDOM DIGITS]$}\comhost.exe
%Temp%\[4 RANDOM DIGITS]
%UserProfile%\Application Data\Install\Host.exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows COM Host" = "
%SystemDrive%\{$[16 RANDOM DIGITS]$}\comhost.exe -rundll32 /SYSTEM32 \%System%\taskmgr.
exe\" \"%ProgramFiles%\Microsoft\Windows\""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"NetWire" = "%UserProfi
le%\Application Data\Install\Host.exe"
木马还创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "%System
Drive%\{$[16 RANDOM DIGITS]$}\comhost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSupe
rHidden" = "0"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft\Sysinternals\"PROCID"
= "5728"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{[36 RANDOM CHA
RACTERS]}\"StubPath" = ""%UserProfile%\Application Data\Install\Host.eXe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{[36 RANDOM CHA
RACTERS]}\"StubPath" = "\%UserProfile%\Application Data\Install\Host.eXe\"""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\MpCmdRun.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\mbam.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\HijackThis.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\avcenter.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\avguard.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Opt
ions\avp.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\bdagent.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\MSASCui.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\msseces.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\ComboFix.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\MsMpEng.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\egui.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\Spybotsd.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\wireshark.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\zlclient.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\keyscrambler.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\ccuac.exe\"Debugger" = "nsjw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
tions\comhost.exe\"DisableExceptionChainValidation" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\"REG_DWORD" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"Start" = "4"
然后,木马在受感染计算机上执行以下操作:
从outlook窃取邮件凭据、击键记录、打开shell、执行DDoS攻击、把受感染的计算机变成一个WEB代理
木马还从以下浏览器窃取密码 :
Internet Explorer、Opera、Chrome、Firefox
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Downloader.Ajuxery
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Downloader.Ajuxery是一个木马,它在受感染计算机上下载其他恶意文件。
该木马执行时,会创建以下注册表项:
HKEY_CURRENT_USER/Hdkhkqrcss/"License" = "[VIRUS IDENTIFIER]"
然后,木马连接到以下远程地址:
[http://]ecab-cap.com/libw6/jqu[REMOVED]
[http://]ecab-cap.com/libw6/aj[REMOVED]
然后,木马从远程地址之一下载以下文件:
%Temp%\UPDATEFLASHPLAYER_[RANDOM CHARACTERS].exe
木马可以下载以下恶意软件:
Trojan.Cidox
Trojan.FakeAV
木马还会创建以下文件,然后删除自身:
%Temp%\[RANDOM CHARACTERS].bat
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
VBS.Crigent
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
VBS.Crigent是一个木马,它在受感染计算机上打开一个后门,它还可以运行一个加密的脚本。
该木马执行时,会创建以下隐藏文件夹:
%UserProfile%\Application Data\[UUID]
然后会创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\[UUID]1
然后,木马连接到以下远程地址下载存档文件:
i.vankin.de
gg.ibiz.cc
然后,木马将下载的文件保存到以下位置:
%UserProfile%\Application Data\[UUID]\roaming.zip
然后,木马从上述文件提取以下文件:
%UserProfile%\Application Data\[UUID]\tor.exe
%UserProfile%\Application Data\[UUID]\polipo.exe
木马在受感染计算机上打开一个后门,并从下列地址检索命令:
[http://]powerwormjqj42hu.onion/get[REMOVED]?s=autorun&uid=[UUID]
木马从上述地址下载并执行一个脚本。
该脚本加密受感染计算机上的文件并提示用户如何解密他们。
当执行脚本时,会生成60位随机字符的密码。
该脚本使用RSA-4096加密,并保存到以下位置:
HKEY_CURRENT_USER\Software\Microsoft\[UUID]0
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
