科技时代新浪首页 > 科技时代 > 软件 > 正文

7月31日—8月6日光华反病毒资讯


http://www.sina.com.cn 2006年08月02日 14:33 太平洋电脑网
作者:光华

 

  光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站下载升级包,以下是几个重要病毒的简介:

一、W32病毒:W32.Dbit 危害级别:★★★★

  根据光华反病毒研究中心专家介绍,这是一个W32病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。当收到、打开此病毒后,有以下现象:

  A 创建服务

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IrMon
  • 服务描述为 "Portable Media Serial Number Service"

  B 生成文件

  • 系统目录\msjet62.dll
  • 用户目录\Local Settings\Temp\NEW[RANDOM NUMBER].tmp
  • 当前目录[感染过的主机文件]\i\i

  C 插入dll到运行的进程,并隐藏病毒代码

   D 终止以下进程

  ethereal.exe、aports.exe、tcpview、windump.exe、iris.exe、CV.exe、sniffer.exe

  E 发送收集到的信息到 211.99.117.202:80

  F 供远程黑客进行以下操作

  • 隐藏网络流量
  • 上传文件
  • 删除文件
  • 搜索文件
  • 截屏
  • 启动代理
  • 检查网络连接
  • 创建 Autorun.inf 文件
  • 感染文件
  • 下载文件
  • 执行程序
  • 窃取用户口令
  • 窃取聊天口令
  • 收集上网信息
  • 记录键盘操作

二、邮件病毒 W32.Amirecivel.H@mm 危害级别:★★

  根据光华反病毒研究中心专家介绍,这是一个邮件病毒,感染 WWindows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统,它进行拒绝服务式攻击,当打开含有此病毒的网页后,有以下现象:

  A 创建文件到系统目录

  • AcroTray32.exe
  • drivers\etc\hosts.File

  B 创建信号量"AmirCivil"

  C 增加注册表项 "AmirCivil" = %System%\AcroTray32.exe" 到
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动执行

  D 收集C:\、D:\、E:\、F:\、G:\、H:\、I:\、J:\、K:\、L:\、C:\windows中的以下扩展名文件中的邮件地址txt、html、xml、adb、asp、cfg、cgi、dbx、eml、pl、shtm、wab

  E 发送以下特征的邮件

  发信人(以下之一)irvirus@yahoo.com、imen@yahoo.com、iransare@yahoo.com、panda@yahoo.com、simorg@yahoo.com、symntec@yahoo.com、john@yahoo.com、mary@yahoo.com、Reply@yahoo.com、shima@yahoo.com、nastaran@yahoo.com、stan@yahoo.com、IRANSARE20008@yahoo.com、iranvig@yahoo.com、mohammad@yahoo.com、irna@yahoo.com、irib@yahoo.com、taktaz@yahoo.com、bia2@yahoo.com、mozilla@yahoo.com

  主题(以下之一)irvirus、symantec、FBI、irvanvig、NOD32、IranSare2008、Announcement、password、simorgh-ev、Your IP was logged、Read it immediately!、Attention、E-mail account disabling warning、Returned Mail、Soccer funs in public place、IHS、IRNA、hello和ANTI VIRUS。

  F 搜索以下扩展名的文件,生成伴随病毒(同名并带有exe扩展名).wav、.jpg、.jpeg、.avi、.bmp、.c、.cpp、.vbp、.vbw等

  G 删除注册表项

  HKEY_CURRENT_USER\Printers;

  破坏用户打印操作

  H 结束以下进程(多为反病毒软件)

  ACKWIN32、AD-AWARE、ADAWARE、ADVXDWIN、AGENTSVR、AGENTW、ANTIVIR、ANTIVIRUS、APIMONITOR、APLICA32、AUPDATE、AUTODOWN、AUTOTRACE、AVGCC32、AVGCTRL、AVKSERV、Babylon、CFINET、CLEANPC、DATEMANAGER、DPFSETUP、F-AGNT95、FNRB32、GhostTray、IOMON98、mcvsshld、NAVAP32、navapsvc、navapw32、NAVW32、NETD32、NETMON、NORMIST、notepad、NPROTECT、NPROTECTED、NUPGRADE、OUTPOST、PavFires、pavProxy、pavsrv50、POP3TRAP、POWERPNT、realplay、 regedit、Rtvscan、RuLaunch、SAVScan、SCAN32、SHSTAT、SNDSrvc、symlcsvc、taskmgr、UPDATE、UpdaterUI、Vshwin32、VsStat、VsTskMgr、WINWORD、ZONEALARM

  I 添加内容到主机文件(HOSTS),使得一些网站不能访问(多为安全网站)

  J 在随机的TCP端口号上打开后门

  光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到7月31日的病毒库[下载地址]就可以完全查杀这些病毒。

爱问(iAsk.com)



论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有