病毒预警
    联系我们
    • 信息中心:0591-83973527
    • 电子邮箱:info@ygu.edu.cn
    病毒预警
    首页 > 病毒预警 > 正文
    计算机病毒预报(2014年06月02日至2014年06月08日)
    时间:2014-06-13
    Trojan.Asprox.B
    警惕程度★★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
    Trojan.Asprox.B是一个木马,它在受感染计算机上下载其他恶意文件。
    该木马作为电子邮件的附件传播到受感染计算机。
    木马执行时,木马会将自身复制到以下位置:
    %UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe
    然后,木马创建以下注册表项,达到开机启动的目的:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" 
    = "%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe"
    该木马在受感染计算机上下载恶意文件并执行。
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
    
    Trojan.Commofra
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
       Trojan.Commofra是一个木马,它从受感染计算机上窃取信息。
    木马通过钓鱼邮件传染到计算机。
    该木马执行时,会创建以下文件:
    %UserProfile%\Application Data\[RANDOM DIGITS].bat
    %UserProfile%\Application Data\Microsoft\[THREE RANDOM CHARACTERS][RANDOM WORD].exe
    然后,木马创建下面的注册表项:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"GlobalUs
    erOffline" = 0x00000000
    HKEY_CURRENT_USER\Software\Microsoft\Office\Common\[EIGHT RANDOM CHARACTERS]\[10 RANDOM
     CHARACTERS]
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[THREE RANDOM CHARACTE
    RS][RANDOM WORD].exe" = "%UserProfile%\Application Data\Microsoft\[THREE RANDOM CHARACT
    ERS][RANDOM WORD].exe"
    木马可以再计算机上执行以下操作:
    将自身注入到浏览器进程、过滤所有网络活动、监控通讯、窃取信息
    木马还可以连接下列主机:
    58.97.0.5:8080
    31.192.210.86:8080
    50.31.152.113:8080
    204.93.183.196:8080
    94.76.218.166:8080
    69.64.69.191:8080
    69.64.70.26:8080
    50.31.152.124:8080
    162.248.214.137:8080
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。 
    

    Backdoor.Korplug
    警惕程度★★★
    影响平台:Win 9X/ME/NT/2000/XP/Server 2003
    病毒执行体描述:
       Backdoor.Korplug是一个木马,它在受感染计算机上打开一个后门,并可以窃取信息。

    木马执行时,会创建以下文件:
    %UserProfile%\SxS\bug.log
    %UserProfile%\SxS\Nv.exe
    %UserProfile%\SxS\Nv.mp3
    %UserProfile%\SxS\NvSmartMax.dll
    %UserProfile%\SxS\rc.exe
    %UserProfile%\SxS\rc.hlp
    %UserProfile%\SxS\rcdll.dll
    然后,木马创建以下注册表子项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FAST
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SXS
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SxS
    木马打开一个后门,并尝试连接到以下域:
    ceraccoux.justdied.com
    exchange.likescandy.com
    facebook.blogdns.nst
    fortune-creative.com
    gameby.flower-show.org
    ns10.itemdb.com
    木马还可以执行以下操作,并将窃取的信息发送到远程服务器:
    打开远程shell、记录击键、窃取有关计算机和网络的信息、截屏
    预防和清除:
      不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新
    功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。