 |  |
 |
|
|
|
|
| 新浪首页 > 科技时代 > 计算机-软件 > ChinaByte > 新闻报道 |
|
【ChinaByte 综合消息】11日,北京冠群金辰公司就一个新型病毒发出警告,冠群金辰全球病毒监 测网捕获到一个名为: Win32/H4.1852的病毒,由于此病毒很容易被修改,从而具备更强的传播性和破坏性。 该病毒是产自西班牙,它能够感染 PE格式文件,并通过IE 浏览器的WEB主页感染系统。能够被感染的机器为安装有 Windows Scripting Host 的机器(Windows 98, Windows 2000 或安装 了Scripting Host extension 的Windows NT 4)且Internet安全级别设为 低级。如果安全级别设为中、高级,在执行此代码前,IE将象OFFICE一样询问用户是否执行此代码。 病毒dropper 的创建规则为HTML页的VBScript,他生成一个名为C:\H4[H40.D LL的调试脚本(script)文件和以下批处理文件:C:\Windows\Escritorio\Help.ba t,C:\SEXYNOW!.BAT,C:\README.BAT 这些批处理文件将运行于DEBUG.EXE文件, 以便从一个脚本创建病毒dropper。另外,此病毒会使VBS 程序生成一个快速链接(shortcut),指向病 毒编写者的web页,名为 C:\WINDOWS\Favorites\FreeSex.Hypererotika. URL。该脚本也感染在下列目录下的HTML文件,将自身附着在文件中: C:\My Documents,C:\W indows\Desktop,C:\Windows\Web,C:\Mis Documentos,C:\Wind ows\Help,C:\Windows\Escritorio,C:\Win2000\Web,C:\Win200 0\Help,C:\Program Files\Internet Explorer\Connection Wi zard,C:\Inetpub\wwwroot,C:\Program Files\Microsoft Offi ce\Office\Headers 病毒dropper自身是被压缩的,且包含一个直接作用可执行文件的传染程序,使用浮点指令程序将PE 病毒自身加密。该病毒传染Windows 和System 目录下的 *.EXE 和 *.SCR 文件,并删除以下 防病毒数据文件:Anti-vir.Dat,Chklist.Dat,Chklist.Tav,Chklist.MS ,Chklist.Cps,Avp.crc,Ivb.Ntz,Smartchk.MS,Smartchk.Cpa,A vp.Set,Scan.Dat,Dec2.DLL,AP.vir,AP.sig,Tbscan.Sig VBScr ipt ,而使生成的病毒能够被植入到任意的Web页内,因而产生一个不同的分发传播机制。由于BUG问题该病毒传播 和破坏力还并不很强,但是这些问题很容易被恶意破坏者进行修改,使新的变种具有更大的传播、破坏威力。
|
|||
| 新浪首页 > 科技时代 > 计算机-软件 > ChinaByte > 新闻报道 | ||||
Copyright(C) 2000 SINA.com, Stone Rich Sight. All Rights Reserved
版权所有 四通利方 新浪网