不支持Flash

伪装成系统文件 蠕虫邮件下载者发作

http://www.sina.com.cn 2007年11月19日 10:01  中关村在线
作者:中关村在线 张齐

    “AUTO病毒17463”(Worm.Autorun.c.17463),这是一个AUTO病毒。该病毒运行后,会立即修改系统时间,使依赖时间的杀软立即失效。并且会在各盘中生成AUTO病毒文件。当用户鼠标左键双击进入AUTO病毒的盘时,病毒则触发运行。

    “蠕虫邮件下载者241664”(Worm.Warezov.nt.241664),这是一个Email类蠕虫病毒。病毒运行后会在系统文件夹释放病毒文件,并修改注册表以自启动。病毒会注入系统winlogon.exe进程,在后台悄悄下载病毒文件,并根据邮箱列表发送病毒文件至用户邮箱。
 
    “AUTO病毒17463”(Worm.Autorun.c.17463)  威胁级别:★★
 
    病毒运行后,在%system32%目录下生成C4393B08.DLL、ED9825C0.EXE、llk1131786170.h、n1131786173k.exe四个病毒文件,并修改注册表启动项,实现随系统自启动。病毒在各盘中生成AUTO病毒文件autorun.inf和auto.exe,它们都具隐藏属性,其中auto.exe还伪装成微软系统文件。只要用户左键双击有AUTO病毒的盘,会发现是另外弹出一个窗口进入的,这证明已经触发AUTO病毒。如果这时候刚好插有U盘等移动储存设备,病毒就会乘机传染它们。
 
    与此同时,病毒将系统时间修改为2005年,使卡巴斯基等依赖时间的杀毒软件失效,导致用户系统的安全性能大大降低,如此一来,它便可肆意在机器中进行任何操作。病毒运行成功后会自删除,使用户无法找到病毒源文件,但我们还是能发现它的犯罪行为:打开任务管理器,可以看到病毒进程已经在执行操作,并且每隔一段时间,桌面图标就消失,过会儿再显示出来。病毒存在的一个典型症状是打开浏览器时,占用的内存非常高,并且不断地弹窗口。由于系统资源已被严重占用,关闭窗口的速度极度缓慢。最终,系统将严重瘫痪。
 
    除自己在系统中大肆破坏外,此病毒还会尝试将其他的病毒文件复制到系统盘内,进行病毒操作,给用户造成更大损失。
 
    “蠕虫邮件下载者241664”(Worm.Warezov.nt.241664)  威胁级别:★★
    
    病毒运行后,在%sys32dir%\目录下释放出病毒文件msprwinn.dll和msprwinn.exe。其中,msprwinn.exe的任务是将msprwinn.dll注入windows系统的登陆管理器的进程winlogon.exe,在系统重启后,它便自我删除,以免被用户发现。与此同时,病毒还会修改注册表,加入启动项。这样,它就可以在每次用户启动系统时随之启动。
 
    既然已经在用户的顺利潜伏下来,那接下来,病毒当然就要开始“工作”了。它会在后台悄悄连接病毒作者指定的远程服务器hxxp://ab*****iyu*****unjid***.com与hxxp://a****.f***.cn ,下载大量其他病毒文件安装至用户计算机。由于病毒种类多样,因此,带来的损失将是无法估计的。
 
    这个病毒通过邮件传播。病毒自带有病毒作者收集的邮件地址列表,它会利用受害电脑的smtp协议(这是一种简单邮件传输协议,不需要验证用户帐户),向列表中的地址自动发送包含病毒的邮件,从而扩大自己的传染范围。
 
 

爱问(iAsk.com)
不支持Flash
·《对话城市》直播中国 ·城市发现之旅有奖活动 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash
不支持Flash