 |
国家计算机病毒应急中心一周病毒预报(7.12-7.18)
(2004-7-12) |
|
|
近期,又出现了“爱之门”病毒的新变种,病毒运行后常驻内存,并在windows文件夹、系统文件夹和C盘根目录下生成多个自身拷贝。同时对注册表进行多处改动,修改.txt(文本文件)的关联,使得用户在运行.txt的时候,实际上是在运行病毒。病毒可通过电子邮件进行传播,有可能以回复正常邮件的形式到达,病毒还有可能将发信人的地址伪装成hotmail、MSN、YAHOO、AOL等大公司的邮件地址。另外病毒可通过网络共享进行传播。
另外,“贝革热”病毒在沉寂数日后,也出现了新的变种,提醒用户对电子邮件的处理一定要谨慎,不确定的附件应先对其进行检测,确定无毒后方可运行,同时要及时的升级杀毒软件,并启动“实时监控”和“邮件监控”功能。
病毒名称:"爱之门"病毒变种(Worm_Lovgate.AD)
病毒种类:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP
病毒长度:152,064字节
病毒特性:
1、生成病毒文件
病毒会将大量可执行文件替换成病毒副本文件,并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。
在%Windows%文件夹下生成:SVCHOST.EXE和SYSTRA.EXE。
在%system%文件夹下生成:HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。
在C盘根目录下生成:AUTORUN.INF和COMMAND.EXE。
2、修改注册表
病毒在注册表中添加以下项目,使得自身能够作为服务运行:
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices下添加SystemTra = "C:\Windows\SysTra.EXE"
COM++ System = "svchost.exe"
病毒在注册表中添加以下项目,使得自身能够随系统启动而自动运行,
在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下添加run = "RAVMOND.exe"
WinHelp = "C:\Windows\System32\TkBellExe.exe"
Hardware Profile = "C:\Windows\System32\hxdef.exe"
VFW Encoder/Decoder Settings = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
Microsoft NetMeeting Associates, Inc. = "NetMeeting.exe
Program In Windows = "C:\Windows\System32\IEXPLORE.EXE"
Shell Extension = "C:\Windows\System32\spollsv.exe"
Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
病毒修改以下注册表项目,这样一来,用户在运行.txt文本文件的时候,实际上就是在运行病毒拷贝:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
default = "Update_OB.exe %1"(原始数值为%SystemRoot%\system32\NOTEPAD.EXE %1)
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
default = "Update_OB.exe %1"(原始数值为%SystemRoot%\system32\NOTEPAD.EXE %1)
3、修改文件
病毒修改文件AUTORUN.INF
[AUTORUN]Open="c:\COMMAND.EXE" /StartExplorer
4、通过电子邮件进行传播
(1)病毒搜索系统邮箱,回复找到的电子邮件,并将病毒作为附件进行传播。
标题:Re: <邮件原始主题>
附件:存在多种形式,扩展名为.exe、.pif、.scrsong.MP3.pif
(2)病毒从下列扩展名的文件中搜索邮件地址:ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB,并向这些地址发送带毒的电子邮件。
病毒邮件特征如下:
发件人:
%病毒体内选取的特定字符%.aol.com
%病毒体内选取的特定字符%.hotmail.com
%病毒体内选取的特定字符%.msn.com
%病毒体内选取的特定字符%.yahoo.com
标题:<为下列之一>
hi
hello
Mail Delivery System
Mail Transaction Failed
内容:<可变>
附件:
文件名为body、data、doc、document、file、message、readme、test、text或zge,扩展名为BAT、EXE、PIF、SCR或ZIP。
病毒会避免向含有特定字符串的邮件地址发送带毒的电子邮件,这些字符串多与反病毒以及计算机安全相关。
5、 通过网络传播
病毒会在Windows文件夹下创建一个名为“Media”的共享文件夹,并在其中生成自身的拷贝。病毒还会扫描本地网络的计算机,尝试通过密码探测进入 “Admin$”共享进行传播,一旦登录成功,病毒会在远程计算机的“Admin$\System32”文件夹中生成自身拷贝,名称为“NETMANAGER.EXE”。
本周发作:
病毒名称:"自毁者"(W97M_Autodest)
病毒类型:宏病毒
发作日期:7月13日
危害程度:病毒感染Word的通用模板文挡normal.dot,7月13日会显示一个倒计时的状态条,并在此之后对C盘进行格式化。
病毒名称:"小花帽"(Pe_Mincer.A)
病毒类型:文件型病毒
发作日期:7月15日
危害程度:病毒感染可执行文件(*.exe),在7月15日,病毒运行后会弹出写有一段中文的对话框,象某人祝贺生日和表达爱慕之情,并会大量删除系统中的文件,导致系统无法正常运行。
专家提醒:
很多病毒运行后都会对文件的关联进行修改,如果修改了可执行文件的关联,即.exe后缀的文件的关联,那么在用户运行这些文件的时候实际上就运行了病毒。那么,在对注册表进行恢复的时候就会出现这样的问题,因为注册表文件regedit.exe同样也是.exe后缀的文件,在系统受到病毒感染后,注册表文件也受到感染,无法运行。一般我们可以通过以下操作打开注册表,并进行相关的恢复。
1、点击"开始-〉运行"
2、输入命令"command /c copy %Windows%\regedit.exe regedit.com | regedit.com" (其中%Windows%指的是系统安装目录,默认是"C:\Windows"或"C:\Winnt")
3、打开注册表,并恢复相关的内容,并关闭注册表
4、点击"开始-〉运行",输入命令"command /c del %Windows%\regedit.com"
|
|  |
|
