近日中国区网络安全监测实验室(China RTL)监控到一起针对金融行业的APT(Advanced Persistent Threat),此威胁会导致用户重要信息数据泄露。其相关病毒极具潜伏性,并且至今仍然在陆续出现新变种,趋势科技提醒您关注。
 
病毒名称:TROJ_JNCTN-CN 
 
其它相关的检测名:TROJ_JNCTN.A-CN, TROJ_JNCTN.B-CN, TROJ_JNCTN.C-CN, TROJ_JNCTN.D-CN, TROJ_JNCTN.E-CN
 
Ø  该病毒具有APT特征
1.       针对性:该病毒基本都是在证券、基金、银行等金融行业相关的客户环境中被发现
2.       潜伏性:从该病毒的显示的一些信息发现此文件可能在用户环境中存在了一年以上
3.       持续性:截止目前为止,病毒作者仍然在对该病毒家族进行更新,以对抗安全软件对其进行的检测
 
Ø  该病毒的恶意行为
1.         搜索系统中的 *.doc, *.xlsx, *.ppt, *.xls, *.rtf, *.csv 类型文件并将它们上传至远端服务器
2.         截取用户桌面的msn 聊天窗口,并提取其聊天对象的历史记录上传至远端服务器
3.         获取系统的账号密码
4.         注入系统服务及进程
5.         获得被感染终端的地理位置
6.         通过1418端口接受远程指令,并可以通过被感染的计算机控制其他被感染计算机
 
Ø  如何确定是否感染该病毒
1.         确认%windir%\system32\目录是否存在MurocApc.dll
2.         确认是否存在\documents and settings\all users\application data\microsoft\opengl文件夹
3.         确认注册表是否有以下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\ZmEvMon
 

Ø  受影响的系统
Ÿ   Microsoft Windows 2000
Ÿ   Microsoft Windows 2008
Ÿ   Microsoft Windows 7
Ÿ   Microsoft Windows 95
Ÿ   Microsoft Windows 98
Ÿ   Microsoft Windows Millennium Edition
Ÿ   Microsoft Windows NT
Ÿ   Microsoft Windows XP
 
 趋势科技专杀工具:
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/TROJ_JNCTN-CN/