科技时代新浪首页 > 科技时代 > 软件 > 正文

网络蠕虫又发作 光华及时推出升级包


http://www.sina.com.cn 2006年10月09日 12:05 中关村在线
作者:中关村在线 Abby

    近日,网络蠕虫又有了重新发作的迹象,笔者建议十一黄金周后的用户们及时更新杀毒软件,保证网络的安全。

    光华也及时发布了10月5日—10月15日的病毒预警,请用户们抓紧时间下载升级包。

    一、网络病毒:W32.Looked.AO 危害级别:★★★★☆

  根据光华反病毒研究中心专家介绍,这是一个网络蠕虫病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它降低系统安全设置,感染本地和网络共享目录中的可执行文件,下载传播其他病毒文件,当收到、打开此病毒后,有以下现象:

    A 复制自身到windows目录下为 rundl132.exe 和 Logo1_.exe

    B 生成文件 Dll.dll,下载传播其他

病毒文件

    C 生成文件 C:\1.txt windows目录\0Sy.exe
    用户目录\Local Settings\Temp$$a5.bat
    用户目录\Local Settings\Temp$$ab.bat

    D 如果

注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW 中有键值 "auto" = "1" 退出

    E 如果注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 中有键值 "ver_down0" = "[下载的文本]" 退出

    F 创建 D、E 中的键值

    G 创建注册表项 "load" = "%Windir%\rundl132.exe" 到HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows,使得病毒每次开机后自动执行

    H 结束以下进程
    RavMon.exe
    EGHOST.EXE
    MAILMON.EXE
    KAVPFW.EXE
    IPARMOR.EXE
    Ravmond.EXE
    regsvc.exe
    RavMon.exe
    mcshield.exe

    I 停止 Kingsoft AntiVirus Service 服务

    J 将 Dll.dll 插入到进程 iexplorer.exe 和 explorer.exe 中

    K 从网上下载 7 个病毒并执行

    L 将下载的病毒保存到 windows 目录的文件并命名为 0Sy.exe 等

    M 搜索C盘到Y盘中的所有exe文件并感染

    N 搜索网络共享目录中的所有exe文件并感染

    O 通过 ICMP 协议,发送数据包 Hello,World

    P 每感染一个文件夹后,在文件夹中创建文件 _desktop.ini ,保存病毒感染的日期,设置为隐藏系统属性

    Q 排除以下文件夹不感染
  system
  system32
  windows
  Documents and Settings
  System Volume Information
  Recycled
  Windows NT
  WindowsUpdate
  ComPlus Application
  NetMeeting
  Common Files
  Messenger
  InstallShield Installation Information
  Microsoft FrontPage
  Movie Maker
  MSN Gaming Zone

    R 设置音量为 0 (使用户听不到

杀毒软件的报警声)

    S 关闭杀毒软件报警窗口
 

   


二  木马病毒 Trojan.Ruspy!doc 危害级别:★★★★☆

    根据光华反病毒研究中心专家介绍,Trojan.Ruspy!doc 是一个木马病毒,长度 159,744 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它生成木马病毒,降低系统安全设置。当染毒文件被执行时,有以下现象:

A 生成病毒 C:\[随机名].exe 并执行
B 修改
  HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security
  HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security
  HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security
  HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Security
  HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Security
  中的键值 "Level" 为 "1"
  降低系统安全设置
C 修改
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  中的键值"1201" 为 ""
  降低系统安全设置

    北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到10月9日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。


爱问(iAsk.com)



论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有