Backdoor.Kaziarb

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述：

Backdoor.Kaziarb是一个木马，它在受感染的计算机上打开一个后门，并窃取计算机上的信息。它还试图在受感染的计算机上下载并执行其他的恶意文件。

当木马执行时，他会创建以下文件：

%UserProfile%\Application Data\[EIGHT RANDOM CHARACTERS]\juschedg.exe

它也会创建以下的文件夹：

%UserProfile%\Application Data\Temp

%UserProfile%\Application Data\Apps

然后，它会创建以下注册表子项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS REG

ISTRY ENTRY]" = "%UserProfile%\Application Data\[EIGHT RANDOM CHARACTERS]\juschedg.exe"

然后，木马使用Tor网络连接下面的命令与控制服务器：

[http://]xtrb3h5gyswyzdc5.onion

[http://]anhmgho2efkywudt.onion

然后，它可以尝试下载其他恶意文件从以下远程地址：

[http://]994-8889.org/wp/333/[REMOVED]

[http://]994-44545.com/wrtu/333/1444[REMOVED]

[http://]994-blsii3.com/wp/444/[REMOVED]

[http://]weret-tesr.com/wp/rttrkk/[REMOVED]

[http://]www.vanderburgbol.nl/site/img/p6.[REMOVED]

[http://]www.kantoorstempels.nl/external/kfm/get[REMOVED]

[http://]flurtbook.com/module/z5.[REMOVED]

[http://]rima-spanish.com/wp-content/themes/[REMOVED]

[http://]994-blsii3.com/wp/444/[REMOVED]

[http://]185.4.227.42/ar2[REMOVED]

[http://]weret-tesr.com/wp/themes/[REMOVED]

接下来，该木马可能会修改Firefox和IE浏览器的设置，用来窃取信息和执行恶意活动。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Incodboot

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Incodboot是一个木马，它修改受感染计算机的主引导记录（MBR）。

该木马运行时，即修改计算机的主引导记录。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Viknok

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Viknok是一个木马，在受感染的计算机上窃取信息。

该木马运行时，会连接到下面的远程命令与控制服务器：

[http://]dgfvv.mydad.info/778/bod8[REMOVED]

然后，它从上述服务器，下载一个文件，并保存到以下位置：

%System%\[RANDOM CHARACTERS FILE NAME].[RANDOM CHARACTERS FILE EXTENSION]

然后，该木马感染以下文件，以便达到开机启动的目的：

%System%\rpcss.dll

然后，木马会搜索并结束以下进程：

avast.setup、avcenter.exe、avp.exe、bdagent.exe、ekrn.exe、mpcmdrun.exe、msseces.exe

该木马监控以下的浏览器：

browser.exe、chrome.exe、firefox.exe、iexplore.exe、opera.exe、webkit2webprocess.exe

然后，该木马检查以下网站的任何通信：

a2.userdail.ru、b7.userdail.ru、c3.userdail.ru、e.mail.ru、esk.sbrf.ru、ibank.svyaznoybank.

ru、m.odnoklassniki.ru、m.vk.com、mail.ru、my.mail.ru、odnoklassniki.ru、online.sberbank.ru、

psbank.ru、retail.payment.ru、sberbank.ru、sbrf.ru、svyaznoybank.ru、vk.com、zubsb.ru

该木马还可以监控以下安全厂商的网站：

avast.com、avast.setup、bitdefender、kaspersky、microsoft.com

该木马窃取计算机信息，并发送到远程命令与控制服务器。

预防和清除：不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。