下周计算机病毒预报
(2020年1月13日至2020年1月19日)
Infostealer.Coonrac
警惕程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒执行体描述
一旦被执行,蠕虫程序会创建以下文件:
· %Temp%/passwords.txt
· %Temp%/CC.txt
· %Temp%/foxmail.temp
· %Temp%/chrome_cookie.txt
· %Temp%/firefox_cookie.txt
· %Temp%/chrome_autofill.txt
· %Temp%/machineinfo.txt
· %Temp%/screen.png
· %Temp%/thunderbird.txt
· %Temp%/outlook.txt
· %Temp%/ie_autofili.txt
· %Temp%/chrome_urls.txt
· %Temp%/firefox_urls.txt
· %Temp%/ie_ftp_data.txt
然后,木马程序创建以下互斥体,以便计算机上只执行一个威胁实例:
· "rc/user"
如果互斥体已存在,木马程序会通过以下命令删除自身:
· "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q "sample.exe"
木马程序从以下应用中窃取登录凭证、cookies和表格信息:
· Google Chrome
· ThunderBird
· Internet Explorer
· Mozilla Firefox
· Foxmail
· Outlook
木马程序还从各种加密货币钱包中窃取信息。
木马程序会连接到远程控制端获取配置文件和一个URL,并将窃取的信息传送到该URL上。
控制端服务器会回传一个包含回传URL,IP地址和其他信息的JSON格式文件。
木马程序将被盗信息作为提供的URL的附件发送到控制端服务器。
文件上传成功后,控制端服务器会返回一个“success”文件。之后木马程序会在被感染计算机上删除自身。
木马程序会删除以下文件:
· %Temp%/passwords.txt
· %Temp%/CC.txt
· %Temp%/foxmail.temp
· %Temp%/chrome_cookie.txt
· %Temp%/firefox_cookie.txt
· %Temp%/chrome_autofill.txt
· %Temp%/machineinfo.txt
· %Temp%/screen.png
· %Temp%/thunderbird.txt
· %Temp%/outlook.txt
· %Temp%/ie_autofili.txt
· %Temp%/chrome_urls.txt
· %Temp%/firefox_urls.txt
· %Temp%/ie_ftp_data.txt
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Ransom.Buran
警惕程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒执行体描述
一旦被执行,木马程序会创建以下文件:
· [PATH TO ENCRYPTED FILES]/!!! YOUR FILES ARE ENCRYPTED !!!.TXT
木马程序会创建以下注册表项,以便在Windows系统启动时实现自启:
· HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"ctfmon.exe" = "%UserProfile%/Application Data/Microsoft/Window s/ctfmon.exe"
木马程序还会创建以下注册表项
· HKEY_CURRENT_USER/Software/Buran/"Knock" = %[HEXADECIMAL VALUE]%
· HKEY_CURRENT_USER/Software/Buran/Service/"Public" = %[DATA]%
· HKEY_CURRENT_USER/Software/Buran/Service/"Private" = %[DATA]%
木马程序会连接到以下地址:
· iplo[REMOVED]er.ru
· iplo[REMOVED]er.org
木马程序会将自身复制到以下位置:
· %UserProfile%/Application Data/Microsoft/Windows/ctfmon.exe
木马程序会对被感染的计算机上的文件进行加密。
木马程序不会对带有以下拓展名的文件进行加密:
· cmd
· com
· cpl
· dll
· msc
· msp
· pif
· scr
· sys
· log
· exe
· buran
木马程序不会对带有以下字段的文件夹下的文件进行加密:
· :/$RECYCLE.BIN/
· :/$Windows.~bt/
· :/RECYCLER
· :/System Volume Information/
· :/Windows.old/
· :/Windows/
· :/intel/
· :/nvidia/
· :/inetpub/logs/
· /All Users/
· /AppData/
· /Apple Computer/Safari/
· /Application Data/
· /Boot/
· /Google/
· /Google/Chrome/
· /Mozilla Firefox/
· /Mozilla/
· /Opera Software/
· /Opera/
· /Tor Browser/
· /Common Files/
· /Internet Explorer/
· /Windows Defender/
· /Windows Mail/
· /Windows Media Player/
· /Windows Multimedia Platform/
· /Windows NT/
· /Windows Photo Viewer/
· /Windows Portable Devices/
· /WindowsPowerShell/
· /Windows Photo Viewer/
· /Windows Security/
· /Embedded Lockdown Manager/
· /Windows Journal/
· /MSBuild/
· /Reference Assemblies/
· /Windows Sidebar/
· /Windows Defender Advanced Threat Protection/
· /Microsoft/
· /Package Cache/
· /Microsoft Help/
木马程序不会对以下文件进行加密:
· boot.ini
· bootfont.bin
· bootsect.bak
· desktop.ini
· defender.exe
· iconcache.db
· master.exe
· master.dat
· ntdetect.com
· ntldr
· ntuser.dat
· ntuser.dat.log
· ntuser.ini
· temp.txt
· thumbs.db
· unlock.exe
· unlocker.exe
· !!! YOUR FILES ARE ENCRYPTED !!!.TXT
马程序通过向受攻击的计算机附加唯一的ID来重命名加密文件:
例如:[ORIGINAL FILE NAME].[HEXADECIMAL VALUE]
木马程序会将以下赎金通知放入其加密文件所在的目录中:
· [PATH TO ENCRYPTED FILES]/!!! YOUR FILES ARE ENCRYPTED !!!.TXT
赎金通知通知用户他们的文件已经加密,并提供了如何支付文件解密的说明。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
1、假冒亚马逊类钓鱼网:
https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/
危害:骗取用户邮箱账号及密码信息。
2、假冒PDF类钓鱼网:
http://www.capelini.com.br/adobeCom/inc/
危害:骗取用户账号及密码信息。
3、假冒Paypal类钓鱼网:
http://www.skblibrary.org.in/cottonlibrary/a
危害:骗取用户账号及密码信息。
4、假冒腾讯游戏类钓鱼网站:
http://www.dnf233.com/
危害:骗取用户信用卡号及密码信息。
5、假冒Gmail类钓鱼网站
http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/
危害:骗取用户邮箱账号及密码信息。
挂马网站提示:
yvspkrd.cn
openvideo.info
meetvide.info
openvideos.info
txcj8.cn
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供