下周计算机病毒预报2012年8月27日至2012年9月02日
下周计算机病毒预报
(2012年8月27日至2012年9月02日)
Win32.Crisis
警惕程度 ★★★
影响平台:Win?9X/ME/NT/2000/XP/2003/Vista
Win32.Crisis是一个蠕虫,它通过可移动驱动器、VMware镜像和Windows移动设备进行传播,并在受感染计算机上打开一个后门。
当蠕虫被执行时,它会创建以下文件:
%UserProfile%\Local Settings\jlc3V7we\6EaqyFfo.zIK
%UserProfile%\Local Settings\jlc3V7we\IZsROY7X.-MP
%UserProfile%\Local Settings\jlc3V7we\WeP1xpBU.wA-
%UserProfile%\Local Settings\jlc3V7we\eiYNz1gd.Cfp
%UserProfile%\Local Settings\jlc3V7we\hypn4cqI.HSC
%UserProfile%\Local Settings\jlc3V7we\lUnsA3Ci.Bz7
%UserProfile%\Local Settings\jlc3V7we\t2HBeaM5.OUk
接着,蠕虫会创建以下注册表子项,使得Windows系统启动时,木马也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"*J7PugHy" = "%System%\rundll32.exe \"%UserProfile%\Local Settings\jlc3V7we\IZsROY7X.-MP\",F1dd208"
然后,蠕虫尝试在受感染计算机上打开一个后门,连接到以下远程地址:
[http://]7/stat[REMOVED]
远程攻击者可以执行以下操作:
记录按键
下载和上传文件
屏幕截图
从电脑的剪切板中窃取信息
使用受感染计算机上的摄像头和麦克风记录图象和声音
然后,蠕虫停止相关的防毒软件进程。
蠕虫在所有的可移动驱动器上复制自身,并将自身复制到任何可以找到的VMware镜像中传播。
它也可能在windows移动设备上生成2个文件,当其他计算机连接这台移动设备时,该2个文件自动执行,并感染计算机。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Finish
警惕程度 ★★
影响平台:Win?9X/ME/NT/2000/XP/2003/Vista
Backdoor.Finish是一个木马,它在受感染的计算机上打开一个后门。
当木马执行时,它会创建以下文件:
%Temp%\tmp2.tmp
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\02.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\02C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\04.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\04C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\05.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\05C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\10.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\10C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\11.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\11C.dat
%UserProfile%\Application Data\Microsoft\Ins