新闻链接：http://www.sheitc.gov.cn/jsjbdyb/662625.htm
新闻时间：2014-03-03
新闻正文：
Trojan.Dipverdle.B
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
　　　Trojan.Dipverdle.B是一个木马，它重定向网页，并窃取受感染计算机上的信息。
木马执行时，它会创建下列文件：
%UserProfile%\Application Data\Microsoft\Windows\svchost.exe
该木马会创建以下注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPo
licy\StandardProfile\AuthorizedApplications\List\"%UserProfile%\Application Data\Micros
oft\Windows\svchost.exe" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.ex
e:*:Enabled:Microsoft Windows Update"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"Win
dowsUpdate" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.exe"
然后，木马修改以下注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[NETWO
RK INTERFACE GUID]\"NameServer" = "127.0.0.1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[NETWO
RK INTERFACE GUID]\"DhcpNameServer" = "127.0.0.1"
然后，木马会连接到下列远程地址：
[http://]hoseen45r.com/uplin[REMOVED]
[http://]62.75.221.37/uplin[REMOVED]
[http://]setpec14rs.com/uplin[REMOVED]
[http://]onetimes21s.com/uplin[REMOVED]
[http://]verification/worlds/test/index[REMOVED]
之后，木马还可以执行以下操作：
上传系统信息和恶意软件版本到远程地址、下载并执行文件、修改DNS服务器设置，将WEB流量全部重定向到一个假的网站，
企图窃取个人信息和财务信息
预防和清除：
　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

Infostealer.Rezbau
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
　　　Infostealer.Rezbau是一个木马，它在受感染计算机上窃取信息。

该木马通过垃圾邮件传播。
该木马执行时，会将自身复制到以下位置：
%UserProfile%\Startup\[THREAT FILE NAME].exe
它收集受感染计算机的以下信息：
CPU信息、主机名、安装的程序、操作系统信息、启动信息、时区、用户名、截屏
然后，木马将收集的信息发送到以下远程地址：
46.166.162.147
46.4.69.25
预防和清除：
　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Premele
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
　　　Trojan.Premele是一个木马，它下载潜在的恶意文件到受感染计算机。

木马通过一个假的Adobe Flash升级程序，被点击确认升级后，下载到电脑并执行。
木马执行时，它会创建下列文件：
%AllUsersProfile%\ms[RANDOM LETTERS FILE NAME].exe
该木马会创建以下注册表项，达到开机启动的目的：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"276
77" = "%Windir%\docume~1\alluse~1\ms[RANDOM LETTERS FILE NAME].exe"
然后，木马修改以下注册表项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"TaskbarN
oNotification" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"HideSCAH
ealth" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"HideSCA
Health" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"Taskbar
NoNotification" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\"Start" = "4"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA"
= "0"
然后，木马会连接到下列远程地址：
[http://]premium.zam99.com/google_checkout/library/and/gate
[http://]premium.1981tokyo.com/google_checkout/library/and/gate
[http://]premium.zeez-shock.com/google_checkout/library/and/gate
之后，木马还可以下载潜在的恶意文件到受感染的计算机。
预防和清除：
　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)