 |
国家计算机病毒应急中心一周病毒预报(7.5-7.11)
(2004-7-6) |
|
|
国家计算机病毒应急中心发布:近期出现了蠕虫病毒Worm_Korgo.R及其一系列的变种,但其传播的数量并不大,在这里提醒用户,及时修补系统漏洞,升级杀毒软件,抵御病毒入侵。
病毒名称:Worm_Korgo.R
病毒类型:蠕虫
病毒长度:9,343字节
感染系统:Windows 95/98/Me/NT/2000/XP
病毒特性:
病毒通过微软的LSASS漏洞进行传播。有关该漏洞的相关信息和补丁程序,请参见微软网站http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx。
1、 生成病毒文件
病毒运行后,在系统文件夹%System%下生成一个.exe文件,文件名称由随机字符组成,例如:gutrsow.exe。
2、 修改注册表
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下创建
Windows Update = %System%\<文件名称>.exe
例如Windows Update = %System%\ gutrsow.exe.exe
3、删除文件和注册表中的键值
当病毒会尝试在临时文件夹中删除文件"ftpupd.exe"。
病毒从 "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run" 删除以下注册键值,并停止与之相关的进程的运行:
"Windows Security Manager"
"Disk Defragmenter"
"System Restore Service"
"Bot Loader"
"SysTray"
"WinUpdate"
"Windows Update Service"
"avserve.exe"
"avserve2.exeUpdate Service"
"MS Config v13"
4、 影响其它服务
系统感染该病毒后,LSASS服务有可能受到影响,会弹出下图所示对话框。
5、 其它
病毒还尝试连接一些制定的站点。
本周发作:
病毒名称:"求职信"变种(Worm_Klez.E)
病毒类型:电子邮件蠕虫病毒
发作日期:7月6日
危害程度:病毒向外发送带毒邮件,病毒发作后会感染电脑中的.doc(Word文档)和.xls(Excel文档),且遭受感染文档和数据都将无法恢复。同时终止反病毒软件的运行,并将其从电脑中删除。
专家提醒:
1、 为防止引导型病毒对系统的破坏,制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,你只能使用软盘启动,而如果你有应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。
2、 有些病毒发作以后,会破坏Windows的一些关键文件,导致无法在Windows下运行杀毒软件进行病毒的清除,所以应该制作一张DOS环境下的杀毒软件,作为应对措施,进行杀毒。做好系统和重要数据的备份工作,以便系统受损后及时进行恢复,降低损失。
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址:Http://www.antivirus-China.org.cn
电 话:022-66211488/66211489/66211490 转 8017
传 真:022-66211487
电子邮件:sos@antivirus-China.org.cn security@tj.cnuninet.net
|
|  |
|
