最新信息
计算机病毒预报(2020年1月13日至2020年1月19日)
时间:2020-01-10    来源:信息技术中心

  下周计算机病毒预报

  (2020年1月13日至2020年1月19日)

  

  Infostealer.Coonrac

  警惕程度 ★★★

  影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP

  病毒执行体描述

  一旦被执行,蠕虫程序会创建以下文件:

  · %Temp%\passwords.txt

  · %Temp%\CC.txt

  · %Temp%\foxmail.temp

  · %Temp%\chrome_cookie.txt

  · %Temp%\firefox_cookie.txt

  · %Temp%\chrome_autofill.txt

  · %Temp%\machineinfo.txt

  · %Temp%\screen.png

  · %Temp%\thunderbird.txt

  · %Temp%\outlook.txt

  · %Temp%\ie_autofili.txt

  · %Temp%\chrome_urls.txt

  · %Temp%\firefox_urls.txt

  · %Temp%\ie_ftp_data.txt

  然后,木马程序创建以下互斥体,以便计算机上只执行一个威胁实例:

  · "rc/user"

  如果互斥体已存在,木马程序会通过以下命令删除自身:

  · "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q "sample.exe"

  木马程序从以下应用中窃取登录凭证、cookies和表格信息:

  · Google Chrome

  · ThunderBird

  · Internet Explorer

  · Mozilla Firefox

  · Foxmail

  · Outlook

  木马程序还从各种加密货币钱包中窃取信息。

  木马程序会连接到远程控制端获取配置文件和一个URL,并将窃取的信息传送到该URL上。

  控制端服务器会回传一个包含回传URL,IP地址和其他信息的JSON格式文件。

  木马程序将被盗信息作为提供的URL的附件发送到控制端服务器。

  文件上传成功后,控制端服务器会返回一个“success”文件。之后木马程序会在被感染计算机上删除自身。

  木马程序会删除以下文件:

  · %Temp%\passwords.txt

  · %Temp%\CC.txt

  · %Temp%\foxmail.temp

  · %Temp%\chrome_cookie.txt

  · %Temp%\firefox_cookie.txt

  · %Temp%\chrome_autofill.txt

  · %Temp%\machineinfo.txt

  · %Temp%\screen.png

  · %Temp%\thunderbird.txt

  · %Temp%\outlook.txt

  · %Temp%\ie_autofili.txt

  · %Temp%\chrome_urls.txt

  · %Temp%\firefox_urls.txt

  · %Temp%\ie_ftp_data.txt

  

  预防和清除:

  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

  

  Ransom.Buran

  警惕程度 ★★★

  影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP

  病毒执行体描述

  一旦被执行,木马程序会创建以下文件:

  · [PATH TO ENCRYPTED FILES]\!!! YOUR FILES ARE ENCRYPTED !!!.TXT

  木马程序会创建以下注册表项,以便在Windows系统启动时实现自启:

  · HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ctfmon.exe" = "%UserProfile%\Application Data\Microsoft\Window s\ctfmon.exe"

  木马程序还会创建以下注册表项

  · HKEY_CURRENT_USER\Software\Buran\"Knock" = %[HEXADECIMAL VALUE]%

  · HKEY_CURRENT_USER\Software\Buran\Service\"Public" = %[DATA]%

  · HKEY_CURRENT_USER\Software\Buran\Service\"Private" = %[DATA]%

  木马程序会连接到以下地址:

  · iplo[REMOVED]er.ru

  · iplo[REMOVED]er.org

  木马程序会将自身复制到以下位置:

  · %UserProfile%\Application Data\Microsoft\Windows\ctfmon.exe

  木马程序会对被感染的计算机上的文件进行加密。

  木马程序不会对带有以下拓展名的文件进行加密:

  · cmd

  · com

  · cpl

  · dll

  · msc

  · msp

  · pif

  · scr

  · sys

  · log

  · exe

  · buran

  木马程序不会对带有以下字段的文件夹下的文件进行加密:

  · :\$RECYCLE.BIN\

  · :\$Windows.~bt\

  · :\RECYCLER

  · :\System Volume Information\

  · :\Windows.old\

  · :\Windows\

  · :\intel\

  · :\nvidia\

  · :\inetpub\logs\

  · \All Users\

  · \AppData\

  · \Apple Computer\Safari\

  · \Application Data\

  · \Boot\

  · \Google\

  · \Google\Chrome\

  · \Mozilla Firefox\

  · \Mozilla\

  · \Opera Software\

  · \Opera\

  · \Tor Browser\

  · \Common Files\

  · \Internet Explorer\

  · \Windows Defender\

  · \Windows Mail\

  · \Windows Media Player\

  · \Windows Multimedia Platform\

  · \Windows NT\

  · \Windows Photo Viewer\

  · \Windows Portable Devices\

  · \WindowsPowerShell\

  · \Windows Photo Viewer\

  · \Windows Security\

  · \Embedded Lockdown Manager\

  · \Windows Journal\

  · \MSBuild\

  · \Reference Assemblies\

  · \Windows Sidebar\

  · \Windows Defender Advanced Threat Protection\

  · \Microsoft\

  · \Package Cache\

  · \Microsoft Help\

  木马程序不会对以下文件进行加密:

  · boot.ini

  · bootfont.bin

  · bootsect.bak

  · desktop.ini

  · defender.exe

  · iconcache.db

  · master.exe

  · master.dat

  · ntdetect.com

  · ntldr

  · ntuser.dat

  · ntuser.dat.log

  · ntuser.ini

  · temp.txt

  · thumbs.db

  · unlock.exe

  · unlocker.exe

  · !!! YOUR FILES ARE ENCRYPTED !!!.TXT

  马程序通过向受攻击的计算机附加唯一的ID来重命名加密文件:

  例如:[ORIGINAL FILE NAME].[HEXADECIMAL VALUE]

  木马程序会将以下赎金通知放入其加密文件所在的目录中:

  · [PATH TO ENCRYPTED FILES]\!!! YOUR FILES ARE ENCRYPTED !!!.TXT

  赎金通知通知用户他们的文件已经加密,并提供了如何支付文件解密的说明。

  

  预防和清除:

  不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

  

  钓鱼网站提示:

  1、假冒亚马逊类钓鱼网:

  https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/
 

  危害:骗取用户邮箱账号及密码信息。

  2、假冒PDF类钓鱼网:

  http://www.capelini.com.br/adobeCom/inc/
 

  危害:骗取用户账号及密码信息。


  3、假冒Paypal类钓鱼网:

  http://www.skblibrary.org.in/cottonlibrary/a
 

  危害:骗取用户账号及密码信息。

  4、假冒腾讯游戏类钓鱼网站: 

  http://www.dnf233.com/
 

  危害:骗取用户信用卡号及密码信息。


  5、假冒Gmail类钓鱼网站

  http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/
 

  危害:骗取用户邮箱账号及密码信息。

  

  挂马网站提示:

  yvspkrd.cn

  openvideo.info

  meetvide.info

  openvideos.info

  txcj8.cn

  请勿打开类似上述网站,保持计算机的网络防火墙打开。

  以上信息由上海市网络与信息安全应急管理事务中心提供

分享到: