 |
国家计算机病毒应急中心一周病毒预报(8.1-8.8)
(2004-8-3) |
|
|
近期出现了病毒“麻布图”(Worm_Mabutu.A)和Mydoom病毒的变种Worm_Mydoom.M,这两个病毒都是通过电子邮件进行传播,目前国内只有少量用户感染,但仍需引起注意。国家计算机病毒应急处理中心提醒广大用户,留意病毒邮件的特征,尤其是对附件的处理要谨慎,不要轻易打开。
病毒名称:“麻布图”(Worm_Mabutu.A)
其它命名:W32/Mabutu.a@MM (McAfee)
W32.Mota.B@mm(symantec)
WORM_MABUTU.A(trend)
I-Worm.Mabutu.a(Kaspersky)
Worm.Mabutu(瑞星)
Worm.Mabutu.a.32768(金山)
病毒长度:32,768字节
病毒类型:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP/2003
病毒特性:
病毒以染毒邮件的附件形式到达,附件的名称是可变的,长度约为33k,扩展名为.EXE, .SCR或.ZIP。提醒用户遇到此类邮件不要打开,应立即删除。病毒运行后在系统文件夹下生成多个病毒文件,修改注册表,以达到自启动的目的。
1、生成病毒文件
该病毒运行后在%Windir%文件夹中释放多个文件,包括一个随机名称的.exe文件(32,768字节)和一个随机名称的.dll文件(48,640字节),还生成文件CFG.DAT。
(其中,%Windir% 通常为C:\windows或C:\WINNT)
2、修改注册表
病毒修改注册表,以达到随系统启动而自动运行的目的,在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:"winupdt"="RUNDLL32.EXE %Windir%\[随机名称].dll,_mainRD"
3、通过电子邮件进行传播
病毒使用自身的SMTP引擎进行传播。病毒会从Windows地址簿(WAB)和MSN联络人名单中搜索邮件地址,同时也会在扩展名为.HTM,.HTML,.TXT和 .WAB的文件中搜集邮件地址,并向这些地址发送带毒电子邮件。
病毒发送的邮件格式如下:
主题: (为下列之一)
britney
Hello
I‘m in love
I‘m nude
Important
jenifer
Wet girls
正文:(为下列之一)
creme_de_gruyere
details
document
Fetishes
gutted
message
Ok cunt
photo
附件的名称是可变的,扩展名为.exe、.scr或.zip
4、其它
病毒会尝试连接预定的mirc服务器特定频道,用以通知远程的恶意用户系统已被该病毒感染。
清除该病毒的建议:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE
在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC
选择"任务管理器--〉进程",选中正在运行的病毒进程,并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"winupdt"="RUNDLL32.EXE %Windir%\[随机名称].dll,_mainRD"
3、运行杀毒软件对系统进行全面的病毒查杀
本周发作:
病毒名称:“礼物”(Worm_Gift.B)
病毒类型:电子邮件蠕虫病毒
发作日期:8月5日
危害程度:病毒通过电子邮件传播,并在该日显示以下信息 “I-Worm.RunDllw32 Activated This is a I-Worm coded by Bumblebee\29a! Gretingz to all 29a members ;)”。
专家提醒:
1、越来越多的病毒可以通过聊天软件Oicq、QQ或MSN进行传播,所以用户如果在使用这些聊天软件时若收到不明的消息不要轻信,收到不明的链接也不要随便点击。
2、定期升级杀毒软件和防火墙,并根据自身需求合理配置软件功能,使病毒防护产品发挥最大功效保护系统安全。
3、使用外来软盘、光盘、移动硬盘等媒介进行数据交换前,先进行病毒扫描,确认其无毒后再进行相关操作。
|
|  |
|
