下周計算機病毒預報

　　（2020年1月13日至2020年1月19日）

　　Infostealer.Coonrac

　　警惕程度 ★★★

　　影響平臺: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP

　　病毒執行體描述

　　一旦被執行，蠕蟲程序會創建以下文件✤：

　　· %Temp%/passwords.txt

　　· %Temp%/CC.txt

　　· %Temp%/foxmail.temp

　　· %Temp%/chrome_cookie.txt

　　· %Temp%/firefox_cookie.txt

　　· %Temp%/chrome_autofill.txt

　　· %Temp%/machineinfo.txt

　　· %Temp%/screen.png

　　· %Temp%/thunderbird.txt

　　· %Temp%/outlook.txt

　　· %Temp%/ie_autofili.txt

　　· %Temp%/chrome_urls.txt

　　· %Temp%/firefox_urls.txt

　　· %Temp%/ie_ftp_data.txt

　　然後🧑🏿‍💻🧑🏿‍🔧，木馬程序創建以下互斥體👨🏼‍⚖️，以便計算機上只執行一個威脅實例：

　　· "rc/user"

　　如果互斥體已存在🙍‍♂️，木馬程序會通過以下命令刪除自身🤹🏿：

　　· "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q "sample.exe"

　　木馬程序從以下應用中竊取登錄憑證、cookies和表格EON4开户：

　　· Google Chrome

　　· ThunderBird

　　· Internet Explorer

　　· Mozilla Firefox

　　· Foxmail

　　· Outlook

　　木馬程序還從各種加密貨幣錢包中竊取EON4开户🐸。

　　木馬程序會連接到遠程控製端獲取配置文件和一個URL，並將竊取的EON4开户傳送到該URL上。

　　控製端服務器會回傳一個包含回傳URL👮‍♂️，IP地址和其他EON4开户的JSON格式文件。

　　木馬程序將被盜EON4开户作為提供的URL的附件發送到控製端服務器🔒🪢。

　　文件上傳成功後👩🏽‍🍼，控製端服務器會返回一個“success”文件👩‍🏭。之後木馬程序會在被感染計算機上刪除自身。

　　木馬程序會刪除以下文件：

　　· %Temp%/passwords.txt

　　· %Temp%/CC.txt

　　· %Temp%/foxmail.temp

　　· %Temp%/chrome_cookie.txt

　　· %Temp%/firefox_cookie.txt

　　· %Temp%/chrome_autofill.txt

　　· %Temp%/machineinfo.txt

　　· %Temp%/screen.png

　　· %Temp%/thunderbird.txt

　　· %Temp%/outlook.txt

　　· %Temp%/ie_autofili.txt

　　· %Temp%/chrome_urls.txt

　　· %Temp%/firefox_urls.txt

　　· %Temp%/ie_ftp_data.txt

　　預防和清除：

　　不要點擊不明網站；打開不明郵件附件；定時經常更新殺毒軟件病毒數據庫❌💏，最好打開殺毒軟件的病毒數據庫自動更新功能。關閉電腦共享功能🧑‍🔬，關閉允許遠程連接電腦的功能。安裝最新的系統補丁🏋🏻。

　　Ransom.Buran

　　警惕程度 ★★★

　　影響平臺: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP

　　病毒執行體描述

　　一旦被執行，木馬程序會創建以下文件：

　　· [PATH TO ENCRYPTED FILES]/!!! YOUR FILES ARE ENCRYPTED !!!.TXT

　　木馬程序會創建以下註冊表項，以便在Windows系統啟動時實現自啟：

　　· HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"ctfmon.exe" = "%UserProfile%/Application Data/Microsoft/Window s/ctfmon.exe"

　　木馬程序還會創建以下註冊表項

　　· HKEY_CURRENT_USER/Software/Buran/"Knock" = %[HEXADECIMAL VALUE]%

　　· HKEY_CURRENT_USER/Software/Buran/Service/"Public" = %[DATA]%

　　· HKEY_CURRENT_USER/Software/Buran/Service/"Private" = %[DATA]%

　　木馬程序會連接到以下地址：

　　· iplo[REMOVED]er.ru

　　· iplo[REMOVED]er.org

　　木馬程序會將自身復製到以下位置：

　　· %UserProfile%/Application Data/Microsoft/Windows/ctfmon.exe

　　木馬程序會對被感染的計算機上的文件進行加密🕤🤳🏽。

　　木馬程序不會對帶有以下拓展名的文件進行加密⛹🏽👨🏼‍🚒：

　　· cmd

　　· com

　　· cpl

　　· dll

　　· msc

　　· msp

　　· pif

　　· scr

　　· sys

　　· log

　　· exe

　　· buran

　　木馬程序不會對帶有以下字段的文件夾下的文件進行加密：

　　· :/$RECYCLE.BIN/

　　· :/$Windows.~bt/

　　· :/RECYCLER

　　· :/System Volume Information/

　　· :/Windows.old/

　　· :/Windows/

　　· :/intel/

　　· :/nvidia/

　　· :/inetpub/logs/

　　· /All Users/

　　· /AppData/

　　· /Apple Computer/Safari/

　　· /Application Data/

　　· /Boot/

　　· /Google/

　　· /Google/Chrome/

　　· /Mozilla Firefox/

　　· /Mozilla/

　　· /Opera Software/

　　· /Opera/

　　· /Tor Browser/

　　· /Common Files/

　　· /Internet Explorer/

　　· /Windows Defender/

　　· /Windows Mail/

　　· /Windows Media Player/

　　· /Windows Multimedia Platform/

　　· /Windows NT/

　　· /Windows Photo Viewer/

　　· /Windows Portable Devices/

　　· /WindowsPowerShell/

　　· /Windows Photo Viewer/

　　· /Windows Security/

　　· /Embedded Lockdown Manager/

　　· /Windows Journal/

　　· /MSBuild/

　　· /Reference Assemblies/

　　· /Windows Sidebar/

　　· /Windows Defender Advanced Threat Protection/

　　· /Microsoft/

　　· /Package Cache/

　　· /Microsoft Help/

　　木馬程序不會對以下文件進行加密🎅🏻：

　　· boot.ini

　　· bootfont.bin

　　· bootsect.bak

　　· desktop.ini

　　· defender.exe

　　· iconcache.db

　　· master.exe

　　· master.dat

　　· ntdetect.com

　　· ntldr

　　· ntuser.dat

　　· ntuser.dat.log

　　· ntuser.ini

　　· temp.txt

　　· thumbs.db

　　· unlock.exe

　　· unlocker.exe

　　· !!! YOUR FILES ARE ENCRYPTED !!!.TXT

　　馬程序通過向受攻擊的計算機附加唯一的ID來重命名加密文件🍥：

　　例如：[ORIGINAL FILE NAME].[HEXADECIMAL VALUE]

　　木馬程序會將以下贖金通知放入其加密文件所在的目錄中👨🏿‍🎤：

　　· [PATH TO ENCRYPTED FILES]/!!! YOUR FILES ARE ENCRYPTED !!!.TXT

　　贖金通知通知用戶他們的文件已經加密，並提供了如何支付文件解密的說明🧜🏿‍♀️🏃🏻‍♀️。

　　預防和清除：

　　不要點擊不明網站🧘；打開不明郵件附件🛋；定時經常更新殺毒軟件病毒數據庫，最好打開殺毒軟件的病毒數據庫自動更新功能🕺。關閉電腦共享功能，關閉允許遠程連接電腦的功能。安裝最新的系統補丁。

　　釣魚網站提示：

　　1、假冒亞馬遜類釣魚網🤚🏼：

　　https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/
 

　　危害🧏🏼‍♀️：騙取用戶郵箱賬號及密碼EON4开户。

　　2、假冒PDF類釣魚網🍿：

　　http://www.capelini.com.br/adobeCom/inc/
 

　　危害🚭：騙取用戶賬號及密碼EON4开户🧑🏼‍💼。


　　3、假冒Paypal類釣魚網：

　　http://www.skblibrary.org.in/cottonlibrary/a
 

　　危害：騙取用戶賬號及密碼EON4开户🥂。

　　4👐🏼、假冒騰訊遊戲類釣魚網站: 

　　http://www.dnf233.com/
 

　　危害：騙取用戶信用卡號及密碼EON4开户。


　　5、假冒Gmail類釣魚網站

　　http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/
 

　　危害：騙取用戶郵箱賬號及密碼EON4开户💆‍♀️。

　　掛馬網站提示：

　　yvspkrd.cn

　　openvideo.info

　　meetvide.info

　　openvideos.info

　　txcj8.cn

　　請勿打開類似上述網站♢，保持計算機的網絡防火墻打開。

　　以上EON4开户由上海市網絡與EON4开户安全應急管理事務中心提供