国家计算机病毒应急处理中心成员单位北京江民新科技术有限公司计算机病毒快速反应小组最新捕获一种新的网络蠕虫程序Trojan.MultiDropper.一个典型的蠕虫程序的附件名称是c_num.gif.exe,文件的大小是:61705字节。当它运行后,将自身拷贝到WINDOWS的SYSTEM目录下,但是具体的文件名称被修改成:C:WINDOWSSYSTEMKERNELSYS32.EXE,同时也往网络邻居的可写磁盘的的回收站上写该文件,但文件名称却被修改成c:RecycledNotdelw.i.n.v.e.r.y.i.f.y.exe,接着修改网络邻居的计算机WINDOWS系统文件系统配置文件win.ini,以使系 统每次启动后都能自动运行在这个回收站(长长的怪的文件名称)中的文件。
(1)该网络蠕虫修改系统注册表:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun增加的键值是:IMEKernel32为C:WINDOWSSystemKernerlsys32.exe通过修改该键值,该网络蠕虫程序会在系统每次启动时自动加载。(2)该网络蠕虫的重要部分在于通过EMAIL来传播。大多数情况下,网络蠕虫传播的附件的名称是汉字文件名,但是扩展名称不一样:一般的双扩展名称,一个是:bmp、rtf、doc、txt、gif、jpeg、jpg,另外的一个扩展名称是:exe或者lnk.
该网络蠕虫程序在本地盘的htm或者html文件或者邮件文件包中搜索Email地址,在搜索完能找到的所有可以感染的Email地址后,该网络蠕虫程序利用自身的SMTP引擎来发送网络蠕虫程序,该网络蠕虫程序可以在没有打补丁的系统上,仅仅浏览信件就可以发作。漏洞下载地址:http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。
注册表的修改:
(1)执行regedit
(2)找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
(3)直接删除网络蠕虫建立的键值:IMEKernel32 C:WindowsSystemKernelsys32.exe
(4)退出regedit
该邮件的主题是随机的,附件的文件名称是随机的,扩展名称是双扩展名称的。附件的大小基本是相同的。最主要的问题是将自身发送给能发现的Email地址,并能自动搜索共享系统将网络蠕虫拷贝到共享目录的回收站中。
请KV3000所有用户安装WINDOWS相应的补丁程序,并上网络升级最新版本的多功能国际版本,保持最新版本来查杀该计算机病毒。并开启KVW3000的实时监视程序来预防该网络蠕虫程序的清除。
请用户及时升级KV3000多功能国际版本,升级网络地址是:www.jiangmin.com或者www.jiangmin.com.cn .
闪烁短信--时尚至爱 动感短信--最佳祝福
送祝福的话,给思念的人--新浪短信言语传情!
|