Trojan.Asprox.B
警惕程度★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Asprox.B是一个木马,它在受感染计算机上下载其他恶意文件。
该木马作为电子邮件的附件传播到受感染计算机。
木马执行时,木马会将自身复制到以下位置:
%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe
然后,木马创建以下注册表项,达到开机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]"
= "%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe"
该木马在受感染计算机上下载恶意文件并执行。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Commofra
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Trojan.Commofra是一个木马,它从受感染计算机上窃取信息。
木马通过钓鱼邮件传染到计算机。
该木马执行时,会创建以下文件:
%UserProfile%\Application Data\[RANDOM DIGITS].bat
%UserProfile%\Application Data\Microsoft\[THREE RANDOM CHARACTERS][RANDOM WORD].exe
然后,木马创建下面的注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"GlobalUs
erOffline" = 0x00000000
HKEY_CURRENT_USER\Software\Microsoft\Office\Common\[EIGHT RANDOM CHARACTERS]\[10 RANDOM
CHARACTERS]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[THREE RANDOM CHARACTE
RS][RANDOM WORD].exe" = "%UserProfile%\Application Data\Microsoft\[THREE RANDOM CHARACT
ERS][RANDOM WORD].exe"
木马可以再计算机上执行以下操作:
将自身注入到浏览器进程、过滤所有网络活动、监控通讯、窃取信息
木马还可以连接下列主机:
58.97.0.5:8080
31.192.210.86:8080
50.31.152.113:8080
204.93.183.196:8080
94.76.218.166:8080
69.64.69.191:8080
69.64.70.26:8080
50.31.152.124:8080
162.248.214.137:8080
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Backdoor.Korplug
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Backdoor.Korplug是一个木马,它在受感染计算机上打开一个后门,并可以窃取信息。
木马执行时,会创建以下文件:
%UserProfile%\SxS\bug.log
%UserProfile%\SxS\Nv.exe
%UserProfile%\SxS\Nv.mp3
%UserProfile%\SxS\NvSmartMax.dll
%UserProfile%\SxS\rc.exe
%UserProfile%\SxS\rc.hlp
%UserProfile%\SxS\rcdll.dll
然后,木马创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FAST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SXS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SxS
木马打开一个后门,并尝试连接到以下域:
ceraccoux.justdied.com
exchange.likescandy.com
facebook.blogdns.nst
fortune-creative.com
gameby.flower-show.org
ns10.itemdb.com
木马还可以执行以下操作,并将窃取的信息发送到远程服务器:
打开远程shell、记录击键、窃取有关计算机和网络的信息、截屏
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。