Backdoor.Setoba
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Backdoor.Setoba是一个木马,它在受感染计算机上打开一个后门,并窃取信息。
当执行木马程序时,它会创建以下文件:
[PATH TO MALWARE]\COM.Extentions.bin.log
然后,木马可以创建、删除、启动或结束以下特征的服务:
Service name: COM+ System Extentions>Provides a common interface and extention module to access, management and use any services that explicitly depend on Component Object Model (COM)+-based.
Display Name: COM+ System Extentions
木马连接到以下远程地址:
srv01.microsoftwindowsupdate.net
木马还可以执行以下操作:
打开一个shell、执行文件、写日志数据
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Zelocat
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Zelocat是一个木马,它在受感染计算机上打开一个后门。
一旦执行,该木马可以执行以下操作:
打开一个后门、打开一个shell、从远程攻击者处接收命令
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Bankrif
警惕程度 ★★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
Trojan.Bankrif是一个木马,它在受感染计算机上窃取信息。
木马执行时,会创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MyKB = [PATH TO MALWARE]
然后,木马连接到以下远程地址,来获得C&C服务器的IP地址:
[http://]www.pinterest.com/pin/66217056[REMOVED]
木马查看下面路径的证书数据,并通过FTP协议发送到远程C&C服务器:
%ProgramFiles%\NPKI
%SystemDrive%\Documents and Settings\All Users\Application Data\LocalLow\NPKI
木马会下载一个恶意脚本,注入到浏览器中,用以窃取以下网站的银行信息:
kbstar.com
wooribank.com
banking.nonghyup.com
hanabank.com
mybank.ibk.co.kr
www.ibk.co.kr
banking.shinhan.com
该木马阻止计算机访问以下远程地址:
v3clinic.ahnlab.com
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
假冒淘宝类钓鱼网站:http://yhsimo.nhznuh.info/;危害:虚假信息,骗取用户账号及密码信息。
假冒购物类钓鱼网站:http://pg6.pngjfzw.cn/;危害:虚假购物信息,骗取用户钱财。
假冒医药类钓鱼网站:http://xueju.aishai365.com/;危害:虚假医药信息,诱骗用户汇款。
假冒中国移动类钓鱼网站:http://cxx.nl-10086.com/wap.asp;危害:虚假兑换信息,骗取用户卡号及密码信息。
假冒工商银行类钓鱼网站:http://107.149.34.11/com/icbcmybank.htm;危害:骗取用户卡号及密码信息。
挂马网站提示:
http://jump.**666.org
http://wbm2000.**222.org
http://hj688.**222.org
http://cnhbwz.**222.org
http://tubeschina.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供