新闻链接：http://www.sheitc.gov.cn/jsjbdyb/660160.htm
新闻时间：2013-06-28
新闻正文：

Trojan.Rloader.B
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
     Trojan.Rloader.B是一个木马，它在受感染的计算机上打开一个后门，也可以下载其他文件到计算机，并窃取受感染计算机上的信息。
     该木马可能由W32.Waledac下载到受感染计算机。
    当木马执行时，它检查以下注册表项，确定安装的应用程序：
HKEY_CURRENT_USER\Software\CommView
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRIS5
HKEY_CURRENT_USER\Software\eEye Digital Security
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wireshark
HKEY_LOCAL_MACHINE\SOFTWARE\ZxSniffer
HKEY_LOCAL_MACHINE\SOFTWARE\Cygwin
HKEY_CURRENT_USER\Software\Cygwin
HKEY_LOCAL_MACHINE\SOFTWARE\B Labs\Bopop Observer
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Bopop Observer
HKEY_CURRENT_USER\Software\Blabs\Bopop Observer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Win Sniffer_is1
HKEY_CURRENT_USER\Software\Win Sniffer
HKEY_CURRENT_USER\PEBrowseDotNETProfiler.DotNETProfilter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu2\PRograms\Debugging Tools for Windo
ws (x86)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SDbgMsg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu2\PRograms\APIS32
HKEY_CURRENT_USER\Software\Syser SoftHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\APIS32
HKEY_LOCAL_MACHINE\SOFTWARE\APIS32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ORacle VM VirtualBox Guest Additions
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxGuest
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SbieDrv
HKEY_CURRENT_USER\Software\Classes\Folder\shell\sandbox
HKEY_CURRENT_USER\Software\Classes\*\shell\sandbox
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com
HKEY_CURRENT_USER\SUPERAntiSpywareContextMenuExt.SASCon.1
HKEY_CURRENT_USER\Software\SUPERAntiSpyware.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ERUNT_is1
    然后，它会搜索下列列表中正在运行的进程：
cv.exe、irise.exe、IrisSvc.exe、wireshark.exe、dumpcap.exe、ZxSniffer.exe、Aircrack-ng Gui.exe、observer.exe、tcpdump.exe、
WinDump.exe、wspass.exe、Regshot.exe、ollydbg.exe、PEBrowseDbg.exe、windbg.exe、DrvLoader.exe、SymRecv.exe、Syser.exe、apis
32.exe、VBoxService.exe、VBoxTray.exe、SbieSvc.exe、SbieCtrl.exe、SandboxieRpcSs.exe、SandboxieDcomLaunch.exe、SUPERAntiSpy
ware.exe、ERUNT.exe、ERDNT.exe、EtherD.exe、Sniffer.exe、CamtasiaStudio.exe、CamRecorder.exe
    然后，它会收集下列系统相关信息：
操作系统版本、机器ID、区域设置、语言、UID、卷信息(%Windir%\System Volume Information)
    该木马修改系统host文件，将搜索请求和广告内容重定向到下列地址：
64.125.87.101
64.125.87.147
72.30.186.249
77.125.87.109
77.125.87.148
77.125.87.149
77.125.87.150
77.125.87.152
87.125.87.103
87.125.87.104
87.125.87.147
87.125.87.99
87.248.112.8
92.123.68.97
    该木马还会修改Firefox和IE的主页：
[http://]findgala.com
    该木马会创建下列文件：
%Temp%\[RANDOM].sys
%Temp%\[RANDOM].exe
    该木马从注册表中收集以下信息：
安装日期、计算机名、适配器信息、Windows更新状态、产品编号
    木马将自身注入到以下进程:
chrome.exe、cmd.exe、explorer.exe、far.exe、firefox.exe、iexplore.exe、opera.exe、totalcmd.exe、wuauclt.exe
    木马窃取以下信息：
操作系统版本、安装日期、计算机GUID、安装的磁盘、硬件配置文件
    然后，木马将窃取的信息发送到远程服务器。
预防和清除：
　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑
共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。
Android.Centero
警惕程度★★★
影响平台：Android
    Android.Centero是一个木马，它在受感染的设备上显示广告。

    该木马可能作为一个安装包被下载，它具有以下特点：
1．其中的包名如下：
com.easou.plus、com.easou.search、cn.tianya.light   
2．一旦安装，应用程序显示一个红色图标“e”和一个“+”（加号）：
3．权限
　　当被安装了木马，它要求一些权限来执行以下操作：
　　打开“网络连接”、写入到外部存储设备、访问有关网络的信息、修改当前的配置、检查手机的当前状态、防止处理器休眠或关闭屏幕、获取
有关当前或最近运行的任务的信息、允许访问低级别的电源管理、开机启动、创建一个快捷方式、安装软件包、打开窗口、手机调成震动、访
问位置信息，如手机ID或WiFi、设施的位置信息，如GPS信息、访问的WiFi状态的信息、写入到外部存储设备。
4．功能：
　　该木马会监视某些流行的应用程序、并且在受感染的设备中的应用程序里显示广告，获得广告收入。
预防和清除：
　　不要下载不明渠道的APP，尽可能使用正规APP商店来获取安装包。
Android.Fakedefender
警惕程度★★★
影响平台：Android
    Android.Fakedefender是一个木马，它在安卓设备上显示虚假的安全警告，试图说服用户购买安全应用程序，涌来删除设备上本就不存在的恶意软件或者安全风险。

    该木马可能作为一个安装包被下载，它具有以下特点：
1．其中的包名如下：
com.android.defender.androiddefender
2．一旦安装，应用程序显示一个图标与文本“Android Defender”。：
3．权限
当被安装了木马，它要求一些权限来执行以下操作：
当被安装了木马，它要求的权限来执行以下操作：
访问位置信息，如手机ID或WiFi、设施的位置信息，如GPS信息、访问有关网络的信息、访问的WiFi状态的信息、更改网络连接状态、更改Wi-
Fi连接状态、允许程序禁用键盘锁、展开或折叠状态栏、进入到列表中的账户所在服务、打开“网络连接”、结束后台进程、读取用户的联系
人数据、检查手机的当前状态、在设备上阅读短信、开机启动、打开窗口、手机震动模式、防止处理器从休眠或关闭屏幕、创建新的联系人数
据、写入到外部存储设备、创建新的短信、安装一个快捷方式。
4．功能：
该木马会显示虚假的安全警告，企图说服用户购买一个应用程序，用来删除设备中本就不存在的恶意软件或安全风险。
它还会删除下列文件中中的所有apk文件：
[EXTERNAL STORAGE MEDIA]/Download
/mnt/external_sd/Download
/mnt/extSdCard/Download
创建下列SQLite数据库文件:
droidbackup.db
然后，木马复制设备中的所有短信。
设备被锁定时，它可能显示一个色情背景图像。
然后，它结束以下后台进程：
com.rechild.advancedtaskkiller
com.estrongs.android.pop
com.metago.astro
com.avast.android.mobilesecurity
com.estrongs.android.taskmanager
com.gau.go.launcherex.gowidget.taskmanagerex
com.gau.go.launcherex
com.rechild.advancedtaskkillerpro
mobi.infolife.taskmanager
com.rechild.advancedtaskkillerfroyo
com.netqin.aotkiller
com.arron.taskManagerFree
com.rhythm.hexise.task

预防和清除：
    不要下载不明渠道的APP，尽可能使用正规APP商店来获取安装包。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课