病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2014年04月28日至2014年05月04日)
    时间:2014-05-09
    Trojan.Rokamal
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
     
    Trojan.Rokamal是一个木马,它在受感染计算机上打开一个后门,并窃取信息,还可以在计算机上执行DDoS攻击。
        木马执行时,木马创建以下文件:
    %UserProfile%\Application Data\msconfig.ini
    %ProgramFiles%\Startup\Google.com.url
    %UserProfile%\Application Data\[9 RANDOM DIGITS].exe
    %SystemDrive%\{$[16 RANDOM DIGITS]$}\comhost.exe
    %Temp%\[4 RANDOM DIGITS]
    %UserProfile%\Application Data\Install\Host.exe
    然后,木马创建以下注册表项,达到开机启动的目的:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows COM Host" = "
    %SystemDrive%\{$[16 RANDOM DIGITS]$}\comhost.exe -rundll32 /SYSTEM32 \%System%\taskmgr.
    exe\" \"%ProgramFiles%\Microsoft\Windows\""
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"NetWire" = "%UserProfi
    le%\Application Data\Install\Host.exe"
    木马还创建以下注册表项:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "%System
    Drive%\{$[16 RANDOM DIGITS]$}\comhost.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSupe
    rHidden" = "0"
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft\Sysinternals\"PROCID" 
    = "5728"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{[36 RANDOM CHA
    RACTERS]}\"StubPath" = ""%UserProfile%\Application Data\Install\Host.eXe""
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{[36 RANDOM CHA
    RACTERS]}\"StubPath" = "\%UserProfile%\Application Data\Install\Host.eXe\"""
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\MpCmdRun.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\mbam.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\HijackThis.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\avcenter.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\avguard.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Opt
    ions\avp.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\bdagent.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\MSASCui.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\msseces.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\ComboFix.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\MsMpEng.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\egui.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\Spybotsd.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\wireshark.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\zlclient.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\keyscrambler.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\ccuac.exe\"Debugger" = "nsjw.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Op
    tions\comhost.exe\"DisableExceptionChainValidation" = ""
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\"REG_DWORD" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"Start" = "4"
    然后,木马在受感染计算机上执行以下操作:
    从outlook窃取邮件凭据、击键记录、打开shell、执行DDoS攻击、把受感染的计算机变成一个WEB代理
    木马还从以下浏览器窃取密码 :
    Internet Explorer、Opera、Chrome、Firefox
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。
    关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

     

     
    Downloader.Ajuxery
    警惕程度★★★
     影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
     
    Downloader.Ajuxery是一个木马,它在受感染计算机上下载其他恶意文件。
    该木马执行时,会创建以下注册表项:
    HKEY_CURRENT_USER/Hdkhkqrcss/"License" = "[VIRUS IDENTIFIER]"
    然后,木马连接到以下远程地址:
    [http://]ecab-cap.com/libw6/jqu[REMOVED]
    [http://]ecab-cap.com/libw6/aj[REMOVED]
    然后,木马从远程地址之一下载以下文件:
    %Temp%\UPDATEFLASHPLAYER_[RANDOM CHARACTERS].exe
    木马可以下载以下恶意软件:
    Trojan.Cidox
    Trojan.FakeAV
    木马还会创建以下文件,然后删除自身:
    %Temp%\[RANDOM CHARACTERS].bat
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
     
    VBS.Crigent
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
     
    VBS.Crigent是一个木马,它在受感染计算机上打开一个后门,它还可以运行一个加密的脚本。
    该木马执行时,会创建以下隐藏文件夹:
    %UserProfile%\Application Data\[UUID]
    然后会创建以下注册表项:
    HKEY_CURRENT_USER\Software\Microsoft\[UUID]1
    然后,木马连接到以下远程地址下载存档文件:
    i.vankin.de
    gg.ibiz.cc
    然后,木马将下载的文件保存到以下位置:
    %UserProfile%\Application Data\[UUID]\roaming.zip
    然后,木马从上述文件提取以下文件:
    %UserProfile%\Application Data\[UUID]\tor.exe
    %UserProfile%\Application Data\[UUID]\polipo.exe
    木马在受感染计算机上打开一个后门,并从下列地址检索命令:
    [http://]powerwormjqj42hu.onion/get[REMOVED]?s=autorun&uid=[UUID]
    木马从上述地址下载并执行一个脚本。
    该脚本加密受感染计算机上的文件并提示用户如何解密他们。
    当执行脚本时,会生成60位随机字符的密码。
    该脚本使用RSA-4096加密,并保存到以下位置:
    HKEY_CURRENT_USER\Software\Microsoft\[UUID]0
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。