Trojan.Stookit

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述：Trojan.Stookit是一个木马，它修改受感染的计算机的主引导记录MBR，可能还会窃取计算机上的信息。该木马执行时，它会创建以下文件： %Temp%\rdp.exe %Temp%\[RANDOM NUMBER].dll %System%\drivers\[RANDOM NUMBER].sys C:\Anti.sys 然后，它会创建以下注册表子项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Anti 该木马感染主引导记录MBR。然后，它尝试记录击键记录和活动窗口的标题，并把信息保存在以下文件中：

%System%\keylog.dat接下来，该木马尝试将收集的信息发送的以下地址:

www.shusheng521.meibu.com

www.cctv.lmshusheng.com

www.cctv.kiss58.org

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Trojan.Spamats

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Trojan.Spamats是一个木马，在受感染的计算机上打开一个后门，并发送垃圾邮件。

该木马运行时，会创建以下文件：

%Temp%\[RANDOM FILE NAME].exe

%UserProfile%\Application Data\[RANDOM FILE NAME].exe

然后，它会创建以下注册表项，以便达到开机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[COMPUTER SPECIFIC STRIN

G]" = "[PATH TO TROJAN]"

该木马会创建下列互斥，保证在计算机上同时只运行一个该木马的实例：MXCHBCCE01然后，它打开一个后门，并从以下网址下载文件：

[http://]mydkarsy.com/image[REMOVED]

[http://]suxmuku.com/image[REMOVED]

[http://]userdnsconns.com/comdi[REMOVED]

然后，该木马从受感染的计算机发送垃圾邮件。

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新

功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Backdoor.Matsnu.B

警惕程度★★★

影响平台：Win 9X/ME/NT/2000/XP/Server 2003

Backdoor.Matsnu.B是一个木马，在受感染的计算机上打开一个后门。

该木马运行时，会复制自身为以下文件之一：

%Temp%\[RANDOM FILE NAME].exe

%UserProfile%\Application Data\[RANDOM FILE NAME].exe

%UserProfile%\[RANDOM FILE NAME].exe然后，该木马创建以下注册表项，达到开机启动的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[COMPUTER SPECIFIC STR

ING]" = "[PATH TO TROJAN]"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "[PATH

TO TROJAN]"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "[PATH

TO TROJAN]"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\

"Startup" = "[PATH TO TROJAN FOLDER]"

然后，该木马在受感染计算机上打开一个后门，并连接到以下URL，等待远程攻击者的命令：

[http://]zeouk-gt.com/typo[REMOVED]

[http://]mbqdczxrz.com/typo[REMOVED]

[http://]seodirect-proxy.com/typo[REMOVED]

[http://]pcv-onlines.com/[REMOVED]

[http://]pgcv-online.com/[REMOVED]

[http://]temp-proxy24.com/typo[REMOVED]

[http://]temp24-proxy24.com/typo[REMOVED]

[http://]online-proxy101.com/typo[REMOVED]

[http://]porkysolderxx.com/amc[REMOVED]

[http://]openwebspace-apo.com/user-057708/foru[REMOVED]

[http://]aqzwzisxu.com/forum[REMOVED]

[http://]dhderzaw.com/forum[REMOVED]

[http://]mbqczxrz.com/typo[REMOVED]

[http://]pcviehppf.com/typo[REMOVED]

[http://]nvufvwieg.com/forum[REMOVED]

[http://]opapodkiu.com/odriw0/foru[REMOVED]

[http://]vgs-shops.com/typo[REMOVED]

[http://]hguupvsje.com/forum[REMOVED]

[http://]aqzwzisxf.com/forum[REMOVED]

[http://]hguudpvsje.com/typo[REMOVED]

该木马允许远程攻击者在受感染计算机上执行一下操作：

下载并执行文件、自我更新、上述URL列表的更新、删除所有硬盘驱动器中的文件和文件夹、覆盖10000字节的固定硬盘，

并删除以下文件:

%DriveLetter%\ntldr

%DriveLetter%\ntdetect.com

预防和清除：

不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功 能。关闭电脑共享功能，关闭允许远程连接电脑的功能。