计算机病毒预报（2013年05月06日至2013年05月12日）-延安大学欢迎您

Backdoor.Mudsy

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003病毒执行体描述： Backdoor.Mudsy是一个木马，它在受感染的计算机上打开一个后门。

该木马利用微软Windows公共ActiveX控件远程代码执行漏洞(CVE-2012-0158)生成特质的RTF文件。 %Temp%\rdp.exe %Temp%\[RANDOM NUMBER].dll %System%\drivers\[RANDOM NUMBER].sys C:\Anti.sys

当木马执行时，他会创建以下文件： %Temp%\document.doc %Temp%\update.exe %System%\msdap.dll %Temp%\vbScript.bat

然后，它会创建以下注册表子项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Display Card Driver" = "rundll32.exe %System%\msdap.dll,Display" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Display Card Driver" = "rundll32.exe %System%\msdap.dll,Display"

然后，它在受感染的计算机上打开一个后门，并打开8081端口连接到以下的IP地址：196.202.140.106

接下来，该木马可以执行以下操作:下载文件、上传文件、执行命令、删除注册表RUN项

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。

关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

W32.Inabot

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

W32.Inabot是一个蠕虫，它可以通过可移动驱动器和网络共享以及从受感染的计算机截取的信息传播。

该蠕虫运行时，会创建以下文件：

%UserProfile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe

一旦开始执行，原来的蠕虫可执行文件就被删除，达到隐藏的目的。

然后，它会创建以下注册表项，以便达到开机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM KEY]" = "%User

Profile%\Application Data\[RANDOM CHARACTERS FILE NAME].exe"

然后，它打开一个后门，连接到以下的远程命令与控制服务器之一：e.eastmoon.pl、gigasbh.org、gigasphere.su、h.opennews.su、o.dailyradio.su、photobeat.su、s.richlab.pl、uranus.kei.su、xixbh.com、xixbh.net

然后，该蠕虫从受感染的计算机搜集信息，并发送给远程攻击者。

该蠕虫还可以执行以下操作：通过可移动驱动器传播、通过网络共享传播、下载并执行其它恶意文件、执行DDoS攻击和通过UDP或TCP协议攻击

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Jabeefit

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Jabeefit是一个木马，在受感染的计算机上打开一个后门，并窃取信息。

该木马运行时，会复制自身为以下文件之一：

%UserProfile%\Application Data\BIFIT_A\agent.exe

然后，它生成以下文件：

%UserProfile%\Application Data\BIFIT_A\bifit_a.cfg

%UserProfile%\Application Data\BIFIT_A\bifit_agent.jar

%UserProfile%\Application Data\BIFIT_A\javassist.jar

然后，该木马创建以下注册表项，达到开机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"bifit_agent" = "%UserPr

ofile%\Application Data\BIFIT_A\agent.exe"

然后，该木马在受感染计算机上打开一个后门，并连接到以下域：http :// 5.135.188.15/site1/client.php

该木马允许远程攻击者在受感染计算机上执行以下操作：

创建新进程、下载文件、结束进程

该木马在网上银行应用程序，修改Java代码，窃取用户信息。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。