密切關注TROJ_JNCTN-CN病毒

近日中國區網絡安全監測實驗室(China RTL)監控到一起針對金融行業的APT(Advanced Persistent Threat)，此威脅會導致用戶重要信息數據泄露。其相關病毒極具潛伏性，並且至今仍然在陸續出現新變種，趨勢科技提醒您關注。
 
病毒名稱：TROJ_JNCTN-CN 
 
其它相關的檢測名：TROJ_JNCTN.A-CN, TROJ_JNCTN.B-CN, TROJ_JNCTN.C-CN, TROJ_JNCTN.D-CN, TROJ_JNCTN.E-CN
 
Ø  該病毒具有APT特徵
1.       針對性：該病毒基本都是在證券、基金、銀行等金融行業相關的客戶環境中被發現
2.       潛伏性：從該病毒的顯示的一些信息發現此文件可能在用戶環境中存在了一年以上
3.       持續性：截止目前爲止，病毒作者仍然在對該病毒家族進行更新，以對抗安全軟件對其進行的檢測
 
Ø  該病毒的惡意行爲
1.         搜索系統中的 *.doc, *.xlsx, *.ppt, *.xls, *.rtf, *.csv 類型文件並將它們上傳至遠端服務器
2.         截取用戶桌面的msn 聊天窗口，並提取其聊天對象的歷史記錄上傳至遠端服務器
3.         獲取系統的賬號密碼
4.         注入系統服務及進程
5.         獲得被感染終端的地理位置
6.         通過1418端口接受遠程指令，並可以通過被感染的計算機控制其他被感染計算機
 
Ø  如何確定是否感染該病毒
1.         確認%windir%\system32\目錄是否存在MurocApc.dll
2.         確認是否存在\documents and settings\all users\application data\microsoft\opengl文件夾
3.         確認註冊表是否有以下鍵值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\ZmEvMon
 

Ø  受影響的系統
Ÿ   Microsoft Windows 2000
Ÿ   Microsoft Windows 2008
Ÿ   Microsoft Windows 7
Ÿ   Microsoft Windows 95
Ÿ   Microsoft Windows 98
Ÿ   Microsoft Windows Millennium Edition
Ÿ   Microsoft Windows NT
Ÿ   Microsoft Windows XP
 
 趨勢科技專殺工具：
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/TROJ_JNCTN-CN/