密切關注TROJ_JNCTN-CN病毒

近日中國區網絡安全監測實驗室(China RTL)監控到一起針對金融行業的APT(Advanced Persistent Threat)，此威脅會導緻使用者重要資訊資料洩露。其相關病毒極具潛伏性，并且至今仍然在陸續出現新變種，趨勢科技提醒您關注。

病毒名稱：TROJ_JNCTN-CN 

其它相關的檢測名：TROJ_JNCTN.A-CN, TROJ_JNCTN.B-CN, TROJ_JNCTN.C-CN, TROJ_JNCTN.D-CN, TROJ_JNCTN.E-CN

Ø  該病毒具有APT特征

1.       針對性：該病毒基本都是在證券、基金、銀行等金融行業相關的客戶環境中被發現

2.       潛伏性：從該病毒的顯示的一些資訊發現此檔案可能在使用者環境中存在了一年以上

3.       持續性：截止目前為止，病毒作者仍然在對該病毒家族進行更新，以對抗安全軟體對其進行的檢測

Ø  該病毒的惡意行為

1.         搜尋系統中的 *.doc, *.xlsx, *.ppt, *.xls, *.rtf, *.csv 類型檔案并将它們上傳至遠端伺服器

2.         截取使用者桌面的msn 聊天視窗，并提取其聊天對象的曆史記錄上傳至遠端伺服器

3.         擷取系統的賬号密碼

4.         注入系統服務及程序

5.         獲得被感染終端的地理位置

6.         通過1418端口接受遠端指令，并可以通過被感染的計算機控制其他被感染計算機

Ø  如何确定是否感染該病毒

1.         确認%windir%\system32\目錄是否存在MurocApc.dll

2.         确認是否存在\documents and settings\all users\application data\microsoft\opengl檔案夾

3.         确認系統資料庫是否有以下鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\ZmEvMon

Ø  受影響的系統

Ÿ   Microsoft Windows 2000

Ÿ   Microsoft Windows 2008

Ÿ   Microsoft Windows 7

Ÿ   Microsoft Windows 95

Ÿ   Microsoft Windows 98

Ÿ   Microsoft Windows Millennium Edition

Ÿ   Microsoft Windows NT

Ÿ   Microsoft Windows XP

 趨勢科技專殺工具：

http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/TROJ_JNCTN-CN/