病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2014年05月26日至2014年06月01日)
    时间:2014-06-13

    Trojan.Vikadclick
    警惕程度 ★★★★

    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
    Trojan.Vikadclick是一个木马,它在受感染计算机上执行点击欺诈的活动。
    木马执行时,木马会创建以下文件:
    %System%\[5 TO 7 RANDOM DIGITS].[3 RANDOM LETTERS]
    %UserProfile%\Application Data\locallow\[RANDOM CHARACTERS].dll
    %System%\sysprep\cryptbase.dll
    %UserProfile%\Application Data\roaming\[RANDOM CHARACTERS].dll
    然后,木马会删除以下文件:
    %System%\rpcss.dll
    %System%\dllcache\rpcss.dll
    然后,木马创建以下注册表项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\"Name" = "[TROJAN PATH]"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\"ID" = [RANDOM DIGIT]
    该木嘛可以进行点击欺诈活动。
    木马连接到以下远程服务器:
    [http://]asgardmen.com
    [http://]azogroman.com
    [http://]5.79.86.97
    [http://]goeorhbmsd.com
    [http://]5.79.86.98
    [http://]qwertyport.com
    [http://]88.150.180.37
    [http://]ramatuar12.com
    [http://]futurama88.com
    预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


    Trojan.Rapidstealer
    警惕程度 ★★★

    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
    Trojan.Rapidstealer是一个木马,它从受感染计算机上窃取信息。
    木马通过和以下文件打包被下载到计算机:
    Ultrasurf
    GerdooVPN
    Psiphon
    该木马执行时,会创建以下文件:
    %UserProfile%\Application Data\IntelRapidStart\DelphiNative.dll
    %UserProfile%\Application Data\IntelRapidStart\IntelRS.exe.config
    %UserProfile%\Application Data\IntelRapidStart\AppTransferWiz.dll
    %UserProfile%\Application Data\IntelRapidStart\IntelRS.exe
    %UserProfile%\Application Data\IntelRapidStart\RapidStartTech.stl
    然后,木马创建下面的注册表项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"IntelRapidStart"=%UserProfile%\Application Data\IntelRapidStart\IntelRS.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"IntelRapidStart"=%UserProfile%\Application Data\IntelRapidStart\IntelRS.exe
    木马从计算机上窃取以下信息:
    截屏、关键日志、剪贴板数据、计算机名、用户名、安装的应用程序、IP地址、开放的端口、语言设置、进程列表、网页浏览器上的用户凭证、书签、cookies、代理设置等
    木马将窃取的信息上传到下列远程服务器之一:
    intel-update.com
    ultrasms.ir
    account-verify.net
    secure.sitanetwork.tk
    88.150.227.197
    windows.update-mirror.com
    然后,木马从上述服务器上下载自己的更新包。
    预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


    Backdoor.Padpin
    警惕程度 ★★★

    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
    Backdoor.Padpin是一个木马,它在受感染计算机上打开一个后门,主要针对ATM设备。
    木马执行时,会创建以下文件,文件放置在受感染计算机上的任意文件夹内:
    [PATH TO THREAT]\ulssm.exe
    然后,木马创建以下注册表项,达到开机启动的目的:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"ulssm.exe" = "[PATH TO THREAT]\ulssm.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ulssm.exe" = "[PATH TO THREAT]\ulssm.exe"
    木马会在后台运行,直到一个特定的代码输入ATM机上的密码键盘:

    木马在受感染计算机上打开后门,允许攻击者执行以下操作:
    从受感染的ATM机上吐钞、选择需要的ATM机信息、显示ATM机中金额剩余,面额,及总数、暂时禁用本地网络,以免触发惊爆、延长会话的持续时间、从受感染的ATM机上删除木马
    预防和清除:
    不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
    钓鱼网站提示:
    假冒中国好歌曲类钓鱼网站:http://ghktryr.com/;危害:虚假中奖信息,诱骗用户汇款。
    假冒百变大咖秀类钓鱼网站:http://www.v9800vv.com/;危害:虚假中奖信息,诱骗用户汇款。
    假冒中国好声音类钓鱼网站:http://www.seiox33.com;危害:虚假中奖信息,诱骗用户汇款。
    假冒医药类钓鱼网站:http://m.hueiwei.com/;危害:出售假药,骗取用户钱财。
    假冒淘宝类钓鱼网站:http://www.12333ok.cn/data/safe/taobao.php;危害:骗取用户淘宝帐号、密码及钱款。
    挂马网站提示:
    http://jump.**666.org
    http://wbm2000.**222.org
    http://hj688.**222.org
    http://cnhbwz.**222.org
    http://tubeschina.**222.org