光华反病毒资讯发布近期病毒警告

http://www.sina.com.cn 2005年03月09日 17:09 新浪科技

　　光华反病毒研究中心近日进行病毒特征码更新，请请用户尽快到光华网站下载升级包，以下是几个重要病毒的简介：

　　1、间谍病毒(SpyWare)：W32.Myfip.R危害级别：★★★★☆

　　根据光华反病毒研究中心专家介绍，该病毒长度66,048字节，感染几乎所有的Window

s系统，包括95/98/ME/NT/2000/XP/2003及服务器。它会自动搜索网络文件共享，窃取文件上传到指定服务器，修改注册表，开机自动执行，破解超级用户口令，影响系统工作，添加系统服务，修改资源管理器，传播其他病毒，从网上下载文件并执行，当收到、打开此病毒邮件时，有以下危害：

　　A 他复制自身到：

　　System目录为kernel32dll.exe

　　B 创建互斥量“Meteo/EA[DCA]”，确保自身识别。

　　C 添加注册表项

　　"Distributed File System" = "kernel32dll.exe"

　　"Distributed File System" = "Dfsvc.exe"

　　到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，使得每次开机次病毒会自动执行。

　　C 扫描网络共享Admin$复制自身到共享的\system32\Dfsvc.exe文件

　　D扫描网络共享Admin$传播病毒W32.Myfip.A到共享的\system32\temp.exe文件

　　E 注册自身为Distributed Link Tracking Extensions服务

　　F 使用以下口令破解网络上搜索到的计算机的超级用户口令

　　·　　administrator

　　·　　Administrator

　　·　　administrator

　　·　　admin

　　·　　Admin

　　·　　administrator123

　　·　　admin123456

　　·　　administrator123456

　　·　　administratorpasswd

　　·　　adminpasswd

　　·　　adminpwd

　　·　　pwd

　　·　　adminpasswd

　　·　　password

　　·　　Password

　　·　　123

　　·　　1234

　　·　　12345

　　·　　123456

　　·　　1234567

　　·　　12345678

　　·　　123456789

　　·　　654321

　　·　　54321

　　·　　111

　　·　　000000

　　·　　passwd

　　·　　Passwd

　　·　　00000000

　　·　　0007

　　·　　007

　　·　　007007

　　·　　0246

　　·　　0249

　　·　　!@#$%

　　·　　!@#$%^

　　·　　!@#$%^&

　　·　　!@#$%^&*

　　·　　root

　　·　　daemon

　　·　　bin

　　·　　sys

　　·　　adm

　　·　　lp

　　·　　nobody

　　·　　noaccess

　　·　　freedom

　　·　　1a2b3c

　　·　　1p2o3i

　　·　　1q2w3e

　　·　　1qw23e

　　·　　1sanjose

　　·　　2004

　　·　　2222

　　·　　369

　　·　　4444

　　·　　love

　　·　　sex

　　·　　god

　　·　　4runner

　　·　　777

　　·　　7777

　　·　　888888

　　·　　911

　　·　　99999999

　　·　　@#$%^&

　　·　　a12345

　　·　　a1b2c3

　　·　　a1b2c3d4

　　·　　aaa

　　·　　aaaaaa

　　·　　abby

　　·　　abc

　　·　　abc123

　　·　　abcd

　　·　　abcd1234

　　·　　abcde

　　·　　abcdef

　　·　　abcdefg

　　·　　access

　　·　　action

　　·　　active

　　·　　adam

　　·　　mypc

　　·　　mypc123

　　·　　admin123

　　·　　pw123

　　·　　mypass

　　·　　mypass123

　　·　　asdf

　　·　　asdfg

　　·　　asdfgh

　　·　　asdfghjk

　　·　　asdfjkl

　　·　　asdfjkl;

　　·　　hacker

　　·　　zxcvb

　　·　　zxcvbnm

　　·　　xxx

　　·　　xxxx

　　·　　@@@

　　·　　###

　　·　　***

　　·　　test

　　·　　test1

　　·　　test123

　　·　　telecom

　　·　　temp

　　·　　bill

　　·　　superman

　　·　　support

　　·　　super

　　·　　ssssss

　　·　　sos

　　·　　spring

　　·　　sprite

　　·　　spirit

　　·　　shit

　　·　　sexy

　　·　　rose

　　·　　nice

　　·　　ppp

　　·　　playboy

　　·　　planet

　　·　　pizza

　　·　　pentium

　　·　　pass

　　·　　job

　　·　　newpass

　　·　　morris

　　·　　loveyou

　　·　　kim

　　·　　storm

　　·　　fuckyou

　　·　　fuck

　　·　　fgh

　　·　　dgj

　　·　　doc

　　·　　adg

　　·　　warez

　　·　　mp3

　　·　　free

　　·　　guest

　　·　　shotgun

　　·　　access

　　·　　adm

　　·　　parol

　　·　　upload

　　·　　qwerty

　　·　　ytrewq

　　·　　share

　　G 搜索以下扩展名的文件上传到saap.meibu.com网站

　　·　　.PDF

　　·　　.DOC

　　·　　.DWG

　　·　　.SCH

　　·　　.PCB

　　·　　.DWT

　　·　　.DWF

　　·　　.MAX

　　H 忽略路径中包含以下字符的文件

　　·　　Winnt

　　·　　Windows

　　·　　I386

　　·　　Program Files

　　·　　All Users

　　·　　Recycler

　　·　　System Volume Information

　　·　　Inetpub

　　·　　Documents and Settings

　　·　　Wutemp

　　·　　My Music

　　I 插入线程到Explorer监视病毒是否被结束，当病毒进程被结束时，立即在运行一份。

　　J 插入线程到Explorer时，可能会显示一个出错信息。

　　光华反病毒软件已经对这种病毒进行了处理，由于手工解除需要关闭系统还原(Windows Me/XP)、进入安全模式，手工删除注册表项，较为繁琐；请用户升级后，使用光华反病毒软件清除。

　　2、最新宏病毒：W97M.Sting.B危害级别：★★☆☆☆

　　根据光华反病毒研究中心专家介绍，这是一个新的宏病毒，感染微软Word模版和文档,从系统中第一次打开感染文件时，病毒关闭系统宏执行提示，降低安全特性，保存设置到全局模版，躲避安全检查。它感染的系统包括Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP。

　　当系统感染此病毒，会造成以下影响：

　　A 替换热键CTRL+ALT+SHIFT+R和CTRL+ALT+SHIFT+V,在用户输入有关热键时执行宏代码；当用户输入CTRL+ALT+SHIFT+R时显示：

　　如果用户输入OX3CCPYK9时显示：

　　否则显示：

　　当用户输入CTRL+ALT+SHIFT+R时显示：

　　输入错误的口令后显示：

　　B 替换“选项”菜单，当用户点击时执行病毒代码。

　　C 当用户打开，保存或另存文件时，检查文件是否染毒，没有染毒时，保存文件到临时目录，调用系统目录下的\COMMAND\ZZ.BAT批处理，添加病毒代码后覆盖原文件。

　　D 创建系统目录下的COMMAND\AZ.Bat文件，当用户退出Word时用系统目录下的\COMMAND\y.y文件替换全局模版Normal.dot。

　　E 删除临时目录里的所有*.do?文件。

　　F 创建COMMAND\XZ.bat文件改变系统路径和文件属性。

　　G 在设置安全属性前打开安全属性，在设置完毕后关闭安全属性，欺骗用户认为安全属性正常。

　　H 在感染30天后破环文件打印。

　　北京日月光华软件公司网站每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑和手机的安全。光华反病毒软件用户升级到3月7日的病毒库就可以完全查杀这些病毒。