超级军网超大每周计算机病毒播报[每周更新]
来源:百度文库 编辑:超级军网 时间:2024/04/30 12:20:48
<P>数据来源 国家计算机病毒应急处理中心</P>
<P>第一期 (2004.8.30- 2004.9.5)</P>
<P> 通过对病毒传播状况的监测,8月份较为活跃的病毒仍然以蠕虫类为主,且排名靠前的多为已经出现一段时间的老病毒以及这些病毒的新变种。这些病毒在传播机理上没有什么新的突破,并且有很多共同之处,如都可以通过电子邮件的方式传播,病毒附件需用户点击方可执行并实施感染和传播等。有些病毒还可通过网络共享传播,兼具后门功能等。对于此类病毒用户应提高病毒预防的敏感性,只要不运行带毒附件病毒就不会发作,另外经常升级杀毒软件和防火墙,启动"实时监控"和"邮件监控"功能,关注微软发布的漏洞信息,定期对系统进行升级,都能有效的遏制病毒的传播和扩散。
其中,"网络天空"病毒变种Worm_Netsky.D以及其他变种、"高波"(Worm_AgoBot)病毒及其变种都排在前列,"爱之门"病毒 (Worm_Lovgate.C)及变种也相当顽固,发作率一直居高不下。主要是由于该病毒可通过网络共享进行传播,在病毒的清除上存在一定的难度。
另外,"贝革热"和"Mydoom"病毒以及它们的变种也有一定数量的传播。
本月还出现新病毒"盗窃者"XF_NetSnake.A,该病毒利用感染了病毒的Office文档进行传播,在运行了感染了病毒的Office文档后,病毒会造成Word和Excel 的双重感染,并在系统中释放多个病毒程序和木马程序。系统被感染后,运行的Word和Excel文档都会被该病毒感染,同时系统安全也受到威胁。病毒的运行同样需用户的点击,所以提醒用户对于来历不明的邮件和 Office 文档,不要随便打开,应先对其进行病毒检测再进行处理。
<B>
本周发作:</B>
<B>病毒名称:</B>"礼物"(Worm_Gift.B)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>9月5日<B>
危害程度:</B>病毒通过电子邮件传播,并在该日显示以下信息 "I-Worm.RunDllw32 Activated This is a I-Worm coded by Bumblebee\29a! Gretingz to all 29a members ;)"。<B>
专家提醒:</B>
1、 计算机出现故障或不明文件,不要贸然删除文件或进行格式化,应先断开网络,使用最新版本的杀毒软件对计算机进行全面扫描。如出现文件丢失、系统无法正常启动等现象,不要反复启动计算机,以免丢失更多的数据,给系统和数据的恢复造成困难。
2、 建议将操作系统单独存放于一个分区,数据、文件等存放在其他的分区,并做好系统以及数据的备份,以便在遭受病毒感染后及时恢复,降低损失。
</P><P>数据来源 国家计算机病毒应急处理中心</P>
<P>第一期 (2004.8.30- 2004.9.5)</P>
<P> 通过对病毒传播状况的监测,8月份较为活跃的病毒仍然以蠕虫类为主,且排名靠前的多为已经出现一段时间的老病毒以及这些病毒的新变种。这些病毒在传播机理上没有什么新的突破,并且有很多共同之处,如都可以通过电子邮件的方式传播,病毒附件需用户点击方可执行并实施感染和传播等。有些病毒还可通过网络共享传播,兼具后门功能等。对于此类病毒用户应提高病毒预防的敏感性,只要不运行带毒附件病毒就不会发作,另外经常升级杀毒软件和防火墙,启动"实时监控"和"邮件监控"功能,关注微软发布的漏洞信息,定期对系统进行升级,都能有效的遏制病毒的传播和扩散。
其中,"网络天空"病毒变种Worm_Netsky.D以及其他变种、"高波"(Worm_AgoBot)病毒及其变种都排在前列,"爱之门"病毒 (Worm_Lovgate.C)及变种也相当顽固,发作率一直居高不下。主要是由于该病毒可通过网络共享进行传播,在病毒的清除上存在一定的难度。
另外,"贝革热"和"Mydoom"病毒以及它们的变种也有一定数量的传播。
本月还出现新病毒"盗窃者"XF_NetSnake.A,该病毒利用感染了病毒的Office文档进行传播,在运行了感染了病毒的Office文档后,病毒会造成Word和Excel 的双重感染,并在系统中释放多个病毒程序和木马程序。系统被感染后,运行的Word和Excel文档都会被该病毒感染,同时系统安全也受到威胁。病毒的运行同样需用户的点击,所以提醒用户对于来历不明的邮件和 Office 文档,不要随便打开,应先对其进行病毒检测再进行处理。
<B>
本周发作:</B>
<B>病毒名称:</B>"礼物"(Worm_Gift.B)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>9月5日<B>
危害程度:</B>病毒通过电子邮件传播,并在该日显示以下信息 "I-Worm.RunDllw32 Activated This is a I-Worm coded by Bumblebee\29a! Gretingz to all 29a members ;)"。<B>
专家提醒:</B>
1、 计算机出现故障或不明文件,不要贸然删除文件或进行格式化,应先断开网络,使用最新版本的杀毒软件对计算机进行全面扫描。如出现文件丢失、系统无法正常启动等现象,不要反复启动计算机,以免丢失更多的数据,给系统和数据的恢复造成困难。
2、 建议将操作系统单独存放于一个分区,数据、文件等存放在其他的分区,并做好系统以及数据的备份,以便在遭受病毒感染后及时恢复,降低损失。
</P>
<P>第一期 (2004.8.30- 2004.9.5)</P>
<P> 通过对病毒传播状况的监测,8月份较为活跃的病毒仍然以蠕虫类为主,且排名靠前的多为已经出现一段时间的老病毒以及这些病毒的新变种。这些病毒在传播机理上没有什么新的突破,并且有很多共同之处,如都可以通过电子邮件的方式传播,病毒附件需用户点击方可执行并实施感染和传播等。有些病毒还可通过网络共享传播,兼具后门功能等。对于此类病毒用户应提高病毒预防的敏感性,只要不运行带毒附件病毒就不会发作,另外经常升级杀毒软件和防火墙,启动"实时监控"和"邮件监控"功能,关注微软发布的漏洞信息,定期对系统进行升级,都能有效的遏制病毒的传播和扩散。
其中,"网络天空"病毒变种Worm_Netsky.D以及其他变种、"高波"(Worm_AgoBot)病毒及其变种都排在前列,"爱之门"病毒 (Worm_Lovgate.C)及变种也相当顽固,发作率一直居高不下。主要是由于该病毒可通过网络共享进行传播,在病毒的清除上存在一定的难度。
另外,"贝革热"和"Mydoom"病毒以及它们的变种也有一定数量的传播。
本月还出现新病毒"盗窃者"XF_NetSnake.A,该病毒利用感染了病毒的Office文档进行传播,在运行了感染了病毒的Office文档后,病毒会造成Word和Excel 的双重感染,并在系统中释放多个病毒程序和木马程序。系统被感染后,运行的Word和Excel文档都会被该病毒感染,同时系统安全也受到威胁。病毒的运行同样需用户的点击,所以提醒用户对于来历不明的邮件和 Office 文档,不要随便打开,应先对其进行病毒检测再进行处理。
<B>
本周发作:</B>
<B>病毒名称:</B>"礼物"(Worm_Gift.B)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>9月5日<B>
危害程度:</B>病毒通过电子邮件传播,并在该日显示以下信息 "I-Worm.RunDllw32 Activated This is a I-Worm coded by Bumblebee\29a! Gretingz to all 29a members ;)"。<B>
专家提醒:</B>
1、 计算机出现故障或不明文件,不要贸然删除文件或进行格式化,应先断开网络,使用最新版本的杀毒软件对计算机进行全面扫描。如出现文件丢失、系统无法正常启动等现象,不要反复启动计算机,以免丢失更多的数据,给系统和数据的恢复造成困难。
2、 建议将操作系统单独存放于一个分区,数据、文件等存放在其他的分区,并做好系统以及数据的备份,以便在遭受病毒感染后及时恢复,降低损失。
</P><P>数据来源 国家计算机病毒应急处理中心</P>
<P>第一期 (2004.8.30- 2004.9.5)</P>
<P> 通过对病毒传播状况的监测,8月份较为活跃的病毒仍然以蠕虫类为主,且排名靠前的多为已经出现一段时间的老病毒以及这些病毒的新变种。这些病毒在传播机理上没有什么新的突破,并且有很多共同之处,如都可以通过电子邮件的方式传播,病毒附件需用户点击方可执行并实施感染和传播等。有些病毒还可通过网络共享传播,兼具后门功能等。对于此类病毒用户应提高病毒预防的敏感性,只要不运行带毒附件病毒就不会发作,另外经常升级杀毒软件和防火墙,启动"实时监控"和"邮件监控"功能,关注微软发布的漏洞信息,定期对系统进行升级,都能有效的遏制病毒的传播和扩散。
其中,"网络天空"病毒变种Worm_Netsky.D以及其他变种、"高波"(Worm_AgoBot)病毒及其变种都排在前列,"爱之门"病毒 (Worm_Lovgate.C)及变种也相当顽固,发作率一直居高不下。主要是由于该病毒可通过网络共享进行传播,在病毒的清除上存在一定的难度。
另外,"贝革热"和"Mydoom"病毒以及它们的变种也有一定数量的传播。
本月还出现新病毒"盗窃者"XF_NetSnake.A,该病毒利用感染了病毒的Office文档进行传播,在运行了感染了病毒的Office文档后,病毒会造成Word和Excel 的双重感染,并在系统中释放多个病毒程序和木马程序。系统被感染后,运行的Word和Excel文档都会被该病毒感染,同时系统安全也受到威胁。病毒的运行同样需用户的点击,所以提醒用户对于来历不明的邮件和 Office 文档,不要随便打开,应先对其进行病毒检测再进行处理。
<B>
本周发作:</B>
<B>病毒名称:</B>"礼物"(Worm_Gift.B)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>9月5日<B>
危害程度:</B>病毒通过电子邮件传播,并在该日显示以下信息 "I-Worm.RunDllw32 Activated This is a I-Worm coded by Bumblebee\29a! Gretingz to all 29a members ;)"。<B>
专家提醒:</B>
1、 计算机出现故障或不明文件,不要贸然删除文件或进行格式化,应先断开网络,使用最新版本的杀毒软件对计算机进行全面扫描。如出现文件丢失、系统无法正常启动等现象,不要反复启动计算机,以免丢失更多的数据,给系统和数据的恢复造成困难。
2、 建议将操作系统单独存放于一个分区,数据、文件等存放在其他的分区,并做好系统以及数据的备份,以便在遭受病毒感染后及时恢复,降低损失。
</P>
<P>netsky很烦,我电脑快被它烦死了,感觉我机子里的木马怎么清也清不完!</P><P>清完后,过一段时间就回来了!</P>
偶也怕烦!如果真有马或者毒在偶机器赖着不走,偶只能将机器格式化了!
<P>谢谢楼主~~</P>[em17]
<P>有病毒不能没有杀毒软件,我就来个瑞星不定时更新吧!</P><P>吼吼吼</P>
<P>第二期 (2004.9.6- 2004.9.12)</P><P>国家计算机病毒应急处理中心通过监测,发现近期"爱之门"病毒的变种(Worm_Lovgate.AF),传播较为广泛,该病毒通过电子邮件附件的形式发
送,大小约为128k,希望引起用户的注意,遇到此类邮件立即删除。病毒还
可通过网络共享进行传播。
病毒名称:"爱之门"(Worm_Lovgate.AF)
其他命名:W32.Lovgate.AC@mm (赛门铁克)
W32/Lovgate.ai@MM (Kaspersky)
Worm.Lovgate.af.enc (瑞星)
WORM_LOVGATE.AG (趋势)
病毒类型:蠕虫
病毒长度:131,072 字节
受影响的系统:Windows 95/98/Me/NT/2000/XP/2003
病毒特征:
1、生成病毒文件
病毒运行后,在系统中生成多个文件,
%Windows%\CDPlay.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\WinHelp.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll(该文件属性为隐藏)
(其中,%Windows%通常为C:\Windows或C:\Winnt,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表
病毒对注册表进行修改,使得在下次系统启动时,病毒可随之自动运行
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = "RAVMOND.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\runServices
"COM++ System" = "exploier.exe..."
"SystemTra" = "%windows%\CDPlay.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Winhelp" = "%system%\TkBellExe.exe..."
"Hardware Profile" = "%system%\hxdef.exe..."
"Program in Windows"="%system%\IEXPLORE.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Program In Windows = "C:\ %System%\IEXPLORE.EXE"
病毒修改注册表项,使得txt文件运行时病毒随之运行
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "Update_OB.exe %1..."
3、过电子邮件进行传播
病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从多种扩展名的文件中搜集邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。
病毒发送的邮件特征如下
主题:(为下列之一)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
内容:(为下列之一)
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附件名称:(为下列之一)
document
readme
doc
text
file
data
test
message
body
附件的扩展名:(为下列之一)
bat
cmd
exe
pif
scr
4、通过网络共享传播
病毒将自身拷贝到网络中的共享文件夹,用以传播
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
5、阻止安全软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
Duba
KAV
本周发作:
病毒名称:"里拉"( Worm_Livra.A)
病毒类型:蠕虫病毒
发作日期:9月11日
危害程度:病毒打开网页http://www.avril-lavigne.com,在屏幕中央显示椭圆图案,并在屏幕的左上角显示以下信息"AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg"。
专家提醒:
1、 不要随便登录不明网站,一些不正规的网站缺少必要的安全措施和管理,比较容易被病毒感染,成为病毒传播的又一途径。如出现IE起始页面被更改或桌面上出现不明链接且无法删除等异常症状,应先断开网络,再进行病毒的查杀工作。
2、 因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。</P>
送,大小约为128k,希望引起用户的注意,遇到此类邮件立即删除。病毒还
可通过网络共享进行传播。
病毒名称:"爱之门"(Worm_Lovgate.AF)
其他命名:W32.Lovgate.AC@mm (赛门铁克)
W32/Lovgate.ai@MM (Kaspersky)
Worm.Lovgate.af.enc (瑞星)
WORM_LOVGATE.AG (趋势)
病毒类型:蠕虫
病毒长度:131,072 字节
受影响的系统:Windows 95/98/Me/NT/2000/XP/2003
病毒特征:
1、生成病毒文件
病毒运行后,在系统中生成多个文件,
%Windows%\CDPlay.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\WinHelp.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll(该文件属性为隐藏)
(其中,%Windows%通常为C:\Windows或C:\Winnt,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表
病毒对注册表进行修改,使得在下次系统启动时,病毒可随之自动运行
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = "RAVMOND.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\runServices
"COM++ System" = "exploier.exe..."
"SystemTra" = "%windows%\CDPlay.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Winhelp" = "%system%\TkBellExe.exe..."
"Hardware Profile" = "%system%\hxdef.exe..."
"Program in Windows"="%system%\IEXPLORE.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Program In Windows = "C:\ %System%\IEXPLORE.EXE"
病毒修改注册表项,使得txt文件运行时病毒随之运行
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "Update_OB.exe %1..."
3、过电子邮件进行传播
病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从多种扩展名的文件中搜集邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。
病毒发送的邮件特征如下
主题:(为下列之一)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
内容:(为下列之一)
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附件名称:(为下列之一)
document
readme
doc
text
file
data
test
message
body
附件的扩展名:(为下列之一)
bat
cmd
exe
pif
scr
4、通过网络共享传播
病毒将自身拷贝到网络中的共享文件夹,用以传播
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
5、阻止安全软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
Duba
KAV
本周发作:
病毒名称:"里拉"( Worm_Livra.A)
病毒类型:蠕虫病毒
发作日期:9月11日
危害程度:病毒打开网页http://www.avril-lavigne.com,在屏幕中央显示椭圆图案,并在屏幕的左上角显示以下信息"AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg"。
专家提醒:
1、 不要随便登录不明网站,一些不正规的网站缺少必要的安全措施和管理,比较容易被病毒感染,成为病毒传播的又一途径。如出现IE起始页面被更改或桌面上出现不明链接且无法删除等异常症状,应先断开网络,再进行病毒的查杀工作。
2、 因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。</P>
收到
<P>病毒预警(2004年09月13日至09月19日)</P><P>本周重点关注病毒:
一、黑客程序:“安哥变种FA”(Win32.Hack.Agobot) 威胁级别:★★
金山毒霸反病毒试验室又顺利截获一“安哥”家族的病毒,命名为:安哥变种FA(Win32.Hack.Agobot)。该病毒是黑客程序,利用共享网络和Beagle,Mydoom等蠕虫遗留下来的后门进行传播。该病毒运行后会自动关掉部分安全软件的进程,对预定的地址发动DoS攻击,并对局域网内的其他机器进行弱密码攻击。病毒在随机TCP端口开设后门,等待攻击者的远程连接,攻击者可远程控制被感染机器,对用户的信息可随意增减,并且,向外泄露用户的个人数据,对用户造成较大的威胁。
金山毒霸反病毒工程师还指出,该病毒被运行后会导致某些安全网站不能浏览,用户安装的病毒防火墙会失效,大大降低了用户系统的安全性,金山毒霸已对该病毒做了处理,请用户及时更新到最新的病毒库防止该病毒地入侵。
二、木马:“间谍波特变种”(Win32.Troj.Spyboter) 威胁级别:★★
据金山毒霸反病毒工程师介绍,该病毒在113端口开放TCP后门,连接到某些网址的6667端口,10448端口等高端端口。病毒以特定的昵称登录到Mirc服务器的特定频道,有利于攻击者可完全控制用户机器,控制者可以查询当前系统的硬件信息和系统信息:如:操作系统版本、CPU频率,内存信息,系统运行时间,当前日期,当前登陆用户,IP地址、计算机名,Windows安装目录,系统目录等。
同时,该病毒驻留内存并启动一个监视线程,关闭和病毒体内的名单中相符的进程,记录键盘操作,并尝试进行简单的ipc密码猜测。反病毒人员还讲,该病毒可以进行DoS攻击,盗取某些游戏的CD-KEY,如Half-Life,CounterStrike。金山毒霸已对该病毒做了处理,请用户做好升级工作</P>
一、黑客程序:“安哥变种FA”(Win32.Hack.Agobot) 威胁级别:★★
金山毒霸反病毒试验室又顺利截获一“安哥”家族的病毒,命名为:安哥变种FA(Win32.Hack.Agobot)。该病毒是黑客程序,利用共享网络和Beagle,Mydoom等蠕虫遗留下来的后门进行传播。该病毒运行后会自动关掉部分安全软件的进程,对预定的地址发动DoS攻击,并对局域网内的其他机器进行弱密码攻击。病毒在随机TCP端口开设后门,等待攻击者的远程连接,攻击者可远程控制被感染机器,对用户的信息可随意增减,并且,向外泄露用户的个人数据,对用户造成较大的威胁。
金山毒霸反病毒工程师还指出,该病毒被运行后会导致某些安全网站不能浏览,用户安装的病毒防火墙会失效,大大降低了用户系统的安全性,金山毒霸已对该病毒做了处理,请用户及时更新到最新的病毒库防止该病毒地入侵。
二、木马:“间谍波特变种”(Win32.Troj.Spyboter) 威胁级别:★★
据金山毒霸反病毒工程师介绍,该病毒在113端口开放TCP后门,连接到某些网址的6667端口,10448端口等高端端口。病毒以特定的昵称登录到Mirc服务器的特定频道,有利于攻击者可完全控制用户机器,控制者可以查询当前系统的硬件信息和系统信息:如:操作系统版本、CPU频率,内存信息,系统运行时间,当前日期,当前登陆用户,IP地址、计算机名,Windows安装目录,系统目录等。
同时,该病毒驻留内存并启动一个监视线程,关闭和病毒体内的名单中相符的进程,记录键盘操作,并尝试进行简单的ipc密码猜测。反病毒人员还讲,该病毒可以进行DoS攻击,盗取某些游戏的CD-KEY,如Half-Life,CounterStrike。金山毒霸已对该病毒做了处理,请用户做好升级工作</P>
谢谢了。我会注意的
<P>第三期(2004.9.13- 2004.9.19)</P><P>病毒名称:pwsteal.lemir.gen
<B>病毒类型:</B>木马程序
<B>病毒长度:</B>随机的
<B>受影响的系统:</B>Windows 95/98/Me/NT/2000/XP/2003
<B>病毒特征:</B>
<B>
1、 生成病毒文件</B>
病毒运行后,在系统目录%System%下自己拷贝生成病毒文件,文件的名称是可变,根据不同的变种相应有不同的名称。
(其中,%System%为C:\Windows\System (Windows 95/98/Me),C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP))
<B>
2、 修改注册表</B>
病毒对注册表进行修改,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加键值
"<value>"="%System%\<filename>" (其中,"<value>"和<filename>为可变的),使得在下次系统启动时,病毒可随之自动运行。
<B>
3、盗取密码</B>
病毒试图登陆并盗取被感染计算机中网络游戏"Legend of Mir 2" 的密码,将游戏密码发送到该木马病毒的植入者手中。
<B>4、 阻止安全软件的运行</B>
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。
<B>本周发作:</B>
<B>
病毒名称:</B>W97M_Metys.C
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>9月18日<B>
危害程度:</B>将病毒码加入system.bat,并给Word文档添加一个随机的密码。
<B>专家提醒:</B>
1、 不要相信任何人发来的电子邮件,因为太多病毒利用电子邮件进行传播,一部分病毒还具有很强的欺骗性和诱惑性,所以不要轻易打开邮件的附件,一定要三思而后行。
2、 为防止引导型病毒对系统的破坏,制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,你只能使用软盘启动,而如果你有应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。</P>
<B>病毒类型:</B>木马程序
<B>病毒长度:</B>随机的
<B>受影响的系统:</B>Windows 95/98/Me/NT/2000/XP/2003
<B>病毒特征:</B>
<B>
1、 生成病毒文件</B>
病毒运行后,在系统目录%System%下自己拷贝生成病毒文件,文件的名称是可变,根据不同的变种相应有不同的名称。
(其中,%System%为C:\Windows\System (Windows 95/98/Me),C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP))
<B>
2、 修改注册表</B>
病毒对注册表进行修改,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加键值
"<value>"="%System%\<filename>" (其中,"<value>"和<filename>为可变的),使得在下次系统启动时,病毒可随之自动运行。
<B>
3、盗取密码</B>
病毒试图登陆并盗取被感染计算机中网络游戏"Legend of Mir 2" 的密码,将游戏密码发送到该木马病毒的植入者手中。
<B>4、 阻止安全软件的运行</B>
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。
<B>本周发作:</B>
<B>
病毒名称:</B>W97M_Metys.C
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>9月18日<B>
危害程度:</B>将病毒码加入system.bat,并给Word文档添加一个随机的密码。
<B>专家提醒:</B>
1、 不要相信任何人发来的电子邮件,因为太多病毒利用电子邮件进行传播,一部分病毒还具有很强的欺骗性和诱惑性,所以不要轻易打开邮件的附件,一定要三思而后行。
2、 为防止引导型病毒对系统的破坏,制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,你只能使用软盘启动,而如果你有应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。</P>
<P>早知道我也这样拿个精了,哭啊!!!!!!!!</P>
<P>第四期(2004.9.20- 2004.9.26)</P><P>近期出现了一些老病毒的变种,如mydoom病毒的变种。从统计数据来看,传播较为广泛的还是通过电子邮件传播的一些病毒,数量较多的是“爱之门”、“网络天空”等,用户要了解病毒邮件的特征,尤其在处理带有附件的邮件时,不要轻易打开,如不确定,应使用最新版本的杀毒软件进行病毒的检测,确认无毒后再打开。
<B>本周发作:</B>
<B>病毒名称:</B>“沙滩” (Worm_Satan)
<B>病毒类型:</B>蠕虫病毒
<B>发作日期:</B>9月23日
<B>危害程度:</B>23日,病毒会自动关闭被感染的计算机,25日,病毒会不断打开“记事本”程序,直到耗尽系统资源导致死机。
<B>
专家提醒:</B>
1、 购买和安装正版的杀毒软件和个人防火墙,并根据自身需要做好相应的设置,使其充分发挥作用。同时,要定期升级杀毒软件和防火墙,并启动“实时监控”功能。
2、 计算机出现异常症状,不要贸然删除文件或进行格式化,应先用最新版本的杀毒软件对计算机进行全面扫描,如暂时无法恢复正常,也不要反复启动计算机,以免丢失更多的数据,给系统和数据的恢复带来困难。
3、 发现新病毒及时报告国家计算机病毒应急中心和当地公共信息网络安全监察部门。</P>
<B>本周发作:</B>
<B>病毒名称:</B>“沙滩” (Worm_Satan)
<B>病毒类型:</B>蠕虫病毒
<B>发作日期:</B>9月23日
<B>危害程度:</B>23日,病毒会自动关闭被感染的计算机,25日,病毒会不断打开“记事本”程序,直到耗尽系统资源导致死机。
<B>
专家提醒:</B>
1、 购买和安装正版的杀毒软件和个人防火墙,并根据自身需要做好相应的设置,使其充分发挥作用。同时,要定期升级杀毒软件和防火墙,并启动“实时监控”功能。
2、 计算机出现异常症状,不要贸然删除文件或进行格式化,应先用最新版本的杀毒软件对计算机进行全面扫描,如暂时无法恢复正常,也不要反复启动计算机,以免丢失更多的数据,给系统和数据的恢复带来困难。
3、 发现新病毒及时报告国家计算机病毒应急中心和当地公共信息网络安全监察部门。</P>
<P>第五期(2004.9.27- 2004.10.3)</P><P>"贝革热"病毒和变种近期传播广泛,病毒主要以电子邮件附件的形式到达,附件大小在几十k到一百多k不等,有些邮件没有内容只有附件,有的有简单的文字作为内容。请用户留意处理此类邮件,谨防病毒的感染,遏制病毒的传播。
另外,微软近期发布了Windows XP Service Pack2,集成了强大的功能,对用户操作系统安全性的提升有一定的作用,用户可到微软网站了解这个补丁的具体情况,并根据自身需求下载安装。
<B>本周发作:</B>
<B>病毒名称:</B>WM_FHD.A
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>9月30日
<B>危害程度:</B>在30日打开受感染的文件,病毒会对C盘进行格式化。
<B>病毒名称:</B>欢乐时光(Vbs_Happytime.A)
<B>病毒类型:</B>脚本语言病毒
<B>发作日期:</B>10月3日
<B>危害程度:</B>病毒向外发送带毒邮件,并在该日删除硬盘中的.exe和.dll文件。
<B>专家提醒:</B>
1、 国庆节前,各单位要对计算机系统进行全面的检查,做好病毒的预防工作。同时,要建立网络安全及病毒事件出现后的应急机制和处置方案,有专人负责事件处理工作。确保本单位在网络安全及病毒事件发生时能作好及时有效的进行处理,防止病毒感染,遏制病毒扩散,最大程度降低病毒发作带来的损失。
2、 各单位要安排节日期间的值班,如遇问题请联络国家计算机病毒应急处理中心或当地公共信息网络安全监察部门。</P>
另外,微软近期发布了Windows XP Service Pack2,集成了强大的功能,对用户操作系统安全性的提升有一定的作用,用户可到微软网站了解这个补丁的具体情况,并根据自身需求下载安装。
<B>本周发作:</B>
<B>病毒名称:</B>WM_FHD.A
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>9月30日
<B>危害程度:</B>在30日打开受感染的文件,病毒会对C盘进行格式化。
<B>病毒名称:</B>欢乐时光(Vbs_Happytime.A)
<B>病毒类型:</B>脚本语言病毒
<B>发作日期:</B>10月3日
<B>危害程度:</B>病毒向外发送带毒邮件,并在该日删除硬盘中的.exe和.dll文件。
<B>专家提醒:</B>
1、 国庆节前,各单位要对计算机系统进行全面的检查,做好病毒的预防工作。同时,要建立网络安全及病毒事件出现后的应急机制和处置方案,有专人负责事件处理工作。确保本单位在网络安全及病毒事件发生时能作好及时有效的进行处理,防止病毒感染,遏制病毒扩散,最大程度降低病毒发作带来的损失。
2、 各单位要安排节日期间的值班,如遇问题请联络国家计算机病毒应急处理中心或当地公共信息网络安全监察部门。</P>
<P>【紧急公告】</P><P>微软发布MS04-028安全公告 </P><P><B> </B>
9月14日微软公司发布了MS04-028安全公告,即JPEG处理中的缓存区溢出漏洞,该漏洞可能允许执行任意代码,属缓冲区溢出高危级漏洞,可导致感染的系统在远程运行任意代码。因此建议用户一定及时打该安全漏洞补丁,做好防病毒的措施!
如果利用该漏洞的蠕虫出现,用户就可以利用Administrator权限进行登陆,一旦登陆成功后,攻击者可能会成功的利用此漏洞来完全地掌控被感染的系统,其中包括安装病毒程序,对计算机进行浏览、更改或删除计算机内的数据,或者在计算机里创建新的拥有全部权限的帐户。
<B>
受影响的平台:</B>
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server2003
Microsoft Windows Server 2003 64-Bit Edition
Microsoft Office XP Service Pack 3
Microsoft Office XP Service Pack 2
Microsoft Office 2003
Microsoft Project 2002 Service Pack 1 (all versions)
Microsoft Project 2003 (all versions)
Microsoft Visio 2002 Service Pack 2 (all versions)
Microsoft Visio 2003 (all versions)
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
The Microsoft .NET Framework version 1.0 SDK Service Pack 2
Microsoft Picture It!2002 (all versions)
Microsoft Greetings 2002
Microsoft Picture It! version 7.0 (all versions)
Microsoft Digital Image Pro version 7.0
Microsoft Picture It! version 9 (all versions, including Picture It! Library)
Microsoft Digital Image Pro version 9
Microsoft Digital Image Suite version 9
Microsoft Producer for Microsoft Office PowerPoint (all versions)
Microsoft Platform SDK Redistributable: GDI+
<B>解决方案:</B>
建议用户尽快把自己的计算机打上该安全漏洞补丁,以防止利用该漏洞的蠕虫病毒对计算机进行破坏。补丁的网址:
http://www.microsoft.com/technet/security/bulletin/ms04-028.mspxx
</P></P>
9月14日微软公司发布了MS04-028安全公告,即JPEG处理中的缓存区溢出漏洞,该漏洞可能允许执行任意代码,属缓冲区溢出高危级漏洞,可导致感染的系统在远程运行任意代码。因此建议用户一定及时打该安全漏洞补丁,做好防病毒的措施!
如果利用该漏洞的蠕虫出现,用户就可以利用Administrator权限进行登陆,一旦登陆成功后,攻击者可能会成功的利用此漏洞来完全地掌控被感染的系统,其中包括安装病毒程序,对计算机进行浏览、更改或删除计算机内的数据,或者在计算机里创建新的拥有全部权限的帐户。
<B>
受影响的平台:</B>
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server2003
Microsoft Windows Server 2003 64-Bit Edition
Microsoft Office XP Service Pack 3
Microsoft Office XP Service Pack 2
Microsoft Office 2003
Microsoft Project 2002 Service Pack 1 (all versions)
Microsoft Project 2003 (all versions)
Microsoft Visio 2002 Service Pack 2 (all versions)
Microsoft Visio 2003 (all versions)
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
The Microsoft .NET Framework version 1.0 SDK Service Pack 2
Microsoft Picture It!2002 (all versions)
Microsoft Greetings 2002
Microsoft Picture It! version 7.0 (all versions)
Microsoft Digital Image Pro version 7.0
Microsoft Picture It! version 9 (all versions, including Picture It! Library)
Microsoft Digital Image Pro version 9
Microsoft Digital Image Suite version 9
Microsoft Producer for Microsoft Office PowerPoint (all versions)
Microsoft Platform SDK Redistributable: GDI+
<B>解决方案:</B>
建议用户尽快把自己的计算机打上该安全漏洞补丁,以防止利用该漏洞的蠕虫病毒对计算机进行破坏。补丁的网址:
http://www.microsoft.com/technet/security/bulletin/ms04-028.mspxx
</P></P>
<P>第六期(2004.10.4- 2004.10.10)</P><P>9月14日微软公司发布了MS04-028安全公告,即JPEG处理中的缓存区溢出漏洞,该漏洞可能允许执行任意代码,属缓冲区溢出高危级漏洞,可导致感染的系统在远程运行任意代码。
目前,利用该漏洞传播的病毒代码已经出现,他们可能会通过聊天软件或电子邮件等途径发送图片,在用户打开图片时,利用漏洞实施处报。如果利用该漏洞的蠕虫出现,恶意用户就可以利用Administrator权限进行登陆,一旦登陆成功后,攻击者可能会成功的利用此漏洞来完全地掌控被感染的系统,其中包括安装病毒程序,对计算机进行浏览、更改或删除计算机内的数据,或者在计算机里创建新的拥有全部权限的帐户。
国家计算机病毒应急处理中心强烈建议用户立即下载该漏洞的补丁程序,修补漏洞,以预防利用该漏洞的病毒和攻击的出现。
另外,上周出现了后门程序SdBot的新变种,它一个IRC后门程序,病毒通过扫描网络上开启了139、445端口的主机,利用病毒自带的密码字典,进行猜测和连接。一旦成功连接,病毒会复制自身到受害计算机的系统目录下,并尝试运行病毒。病毒还会在注册表中创建启动项,以使病毒随系统而自动执行。
这个病毒与以往病毒的不同之处在于,它自带的密码字典比较庞大,包含一些常见的单词拼写,因而进行密码猜测时成功率较高,所以用户在设置密码时还是要引起注意。
<B>本周发作:</B>
<B>
病毒名称:</B>Ibex
<B>病毒类型:</B>引导型病毒
<B>发作日期:</B>10月7日
<B>危害程度:</B>该病毒感染硬盘的分区表和软盘的主引导扇区并破坏硬盘数据
<B>病毒名称:</B>WM_Outlaw.C
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>10月10日
<B>危害程度:</B>在该日,一旦用户敲击了键盘上的"e"键,病毒就会创建包含以下文字的文档"You are infected with the MooNRaiDer Virus! Greetings to all members of Vlad! I hope that is not the end! The scene would be to boring without this very good group! Nightmare Joker(你被 MooNRaiDer病毒感染了!向Vlad的全体成员表示祝贺,我希望事情并没有结束,缺少了这个优秀的团队,感觉很乏味。)"
<B>专家提醒:</B>
1、 国庆节后,各单位要对计算机系统进行全面的检测,做好病毒的防治和清除工作。
2、 对系统和重要数据做好备份,而且在本机备份外,最好同时做异地备份,如备份在其它机器、光盘或移动硬盘上,确保备份的安全性。</P>
目前,利用该漏洞传播的病毒代码已经出现,他们可能会通过聊天软件或电子邮件等途径发送图片,在用户打开图片时,利用漏洞实施处报。如果利用该漏洞的蠕虫出现,恶意用户就可以利用Administrator权限进行登陆,一旦登陆成功后,攻击者可能会成功的利用此漏洞来完全地掌控被感染的系统,其中包括安装病毒程序,对计算机进行浏览、更改或删除计算机内的数据,或者在计算机里创建新的拥有全部权限的帐户。
国家计算机病毒应急处理中心强烈建议用户立即下载该漏洞的补丁程序,修补漏洞,以预防利用该漏洞的病毒和攻击的出现。
另外,上周出现了后门程序SdBot的新变种,它一个IRC后门程序,病毒通过扫描网络上开启了139、445端口的主机,利用病毒自带的密码字典,进行猜测和连接。一旦成功连接,病毒会复制自身到受害计算机的系统目录下,并尝试运行病毒。病毒还会在注册表中创建启动项,以使病毒随系统而自动执行。
这个病毒与以往病毒的不同之处在于,它自带的密码字典比较庞大,包含一些常见的单词拼写,因而进行密码猜测时成功率较高,所以用户在设置密码时还是要引起注意。
<B>本周发作:</B>
<B>
病毒名称:</B>Ibex
<B>病毒类型:</B>引导型病毒
<B>发作日期:</B>10月7日
<B>危害程度:</B>该病毒感染硬盘的分区表和软盘的主引导扇区并破坏硬盘数据
<B>病毒名称:</B>WM_Outlaw.C
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>10月10日
<B>危害程度:</B>在该日,一旦用户敲击了键盘上的"e"键,病毒就会创建包含以下文字的文档"You are infected with the MooNRaiDer Virus! Greetings to all members of Vlad! I hope that is not the end! The scene would be to boring without this very good group! Nightmare Joker(你被 MooNRaiDer病毒感染了!向Vlad的全体成员表示祝贺,我希望事情并没有结束,缺少了这个优秀的团队,感觉很乏味。)"
<B>专家提醒:</B>
1、 国庆节后,各单位要对计算机系统进行全面的检测,做好病毒的防治和清除工作。
2、 对系统和重要数据做好备份,而且在本机备份外,最好同时做异地备份,如备份在其它机器、光盘或移动硬盘上,确保备份的安全性。</P>
感觉现在病毒以木马型和蠕虫型最多
<P>木马还好办,蠕虫那真是讨厌死!</P><P>好在已经N长时间没看见类似CIH这样的病毒了!</P>
<P>第七期(2004.10.11- 2004.10.17)</P><P>潜藏在电脑中黑客和木马程序,与病毒相比较难被察觉,这些有害程序可能在用户浏览网页、下载软件、接收邮件、拷贝文件等操作时,注入到系统之中,如果黑客和木马程序没有没用户及时发现,他们就会潜藏在系统中,盗取用户的资料和信息,对系统内的信息进行篡改,甚至对以一台被感染的计算机为切入口,获取被感染用户所在网络的超级用户权限,对整个局域网的安全构成危害。
用户要对系统内的重要文件进行备份和常规的检查,及时发现问题,如果这些文件的长度发生变化或文件内部出现了不正常的更改,要进行恢复和清除。对无法识别的文件和程序不要轻易运行和打开,以免造成不必要的损失。
另外,杀毒软件以及防火墙的及时升级也很必要。
<B>
本周发作:</B>
<B>病毒名称:</B>Worm_Sircam.A(该病毒于2001年出现,现在流传
已经不是非常广泛了)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>10月16日
<B>危害程度:</B>随机选取硬盘内的文件作为附件,向外发送带有病毒的电子邮件,从而导致泄密;10月16日病毒发作会删除C盘文件,并在系统启动时自动向硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间,导致系统无法工作。
<B>专家提醒:</B>
1、 了解基本的病毒知识,关注流行病毒的特征,学习应对病毒发作的基本操作。通过学习就可以及时发现新病毒并采取相应措施,保护的计算机系统的安全免受病毒侵害。
2、 在对系统进行杀毒之前,先备份重要的数据文件。即使这些文件已经带毒,万一杀毒失败后还有机会将计算机恢复原貌,然后再使用杀毒软件对数据文件进行修复。
</P>
用户要对系统内的重要文件进行备份和常规的检查,及时发现问题,如果这些文件的长度发生变化或文件内部出现了不正常的更改,要进行恢复和清除。对无法识别的文件和程序不要轻易运行和打开,以免造成不必要的损失。
另外,杀毒软件以及防火墙的及时升级也很必要。
<B>
本周发作:</B>
<B>病毒名称:</B>Worm_Sircam.A(该病毒于2001年出现,现在流传
已经不是非常广泛了)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>10月16日
<B>危害程度:</B>随机选取硬盘内的文件作为附件,向外发送带有病毒的电子邮件,从而导致泄密;10月16日病毒发作会删除C盘文件,并在系统启动时自动向硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间,导致系统无法工作。
<B>专家提醒:</B>
1、 了解基本的病毒知识,关注流行病毒的特征,学习应对病毒发作的基本操作。通过学习就可以及时发现新病毒并采取相应措施,保护的计算机系统的安全免受病毒侵害。
2、 在对系统进行杀毒之前,先备份重要的数据文件。即使这些文件已经带毒,万一杀毒失败后还有机会将计算机恢复原貌,然后再使用杀毒软件对数据文件进行修复。
</P>
<B>我国出现利用MSN进行传播的病毒Worm_Funny.A</B></P>
<B>病毒名称:</B> Worm_Funny.A
<B>病毒别名: </B>WORM_FUNNER.A [Trend]
I-Worm/MsnFunny [江民]
Worm.MSN.funny [瑞星]
Worm.MSNFunny [金山]
<B>病毒类型: </B>蠕虫
<B>病毒大小:</B>56,320 Bytes (压缩后);
312,832 Bytes (未压缩)
<B>受影响系统: </B>Win9x/WinMe/WinNT/Win2000/WinXP
<B>
病毒特性:</B>
该病毒主要通过MSN进行传播,病毒会向中毒机器里的MSN中的联系人发送病毒文件,MSN联系人会收到一个名为FUNNY.EXE的应用程序,接收并点击它就会感染机器,并会生成病毒自身的一些复制文件。病毒还会修改系统的注册表,使得自身能够在系统启动时自动运行,还会屏蔽一些网站。
用户一定要了解该病毒的主要特征,在使用MSN聊天过程中遇到此类问题,千万不要接收打开发送来的应用程序或是网站,避免病毒的感染和进一步的传播。同时,该病毒会有可能出现一系列的变种,计算机用户要做好防范措施。
<B>1、生成病毒文件:</B>
病毒运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝,分别为:
EXPLORER.EXE 、
IEXPLORE.EXE 、
USERINIT32.EXE ,
还有一个名为BSFIRST2.LOG的日志文件。
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
另外,在Windows98和ME系统中,病毒会用自身拷贝覆盖原始的RUNDLL32.EXE文件。
<B>
2、修改注册表项:</B>
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run 下添加
MMSystem = "MMSystem" = %System%\mmsystem.dll"", rundll32"
在Windows 2000和XP系统中,病毒还会创建如下注册表项目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下添加
Userinit = "userinit32.exe"
在Windows 98和ME系统中,病毒会修改SYSTEM.INI文件中的[boot]段落,具体如下:
Shell = %System%\explorer.exe
<B>
3、通过MSN传播:</B>
病毒会利用由病毒机器里的MSN向该用户的MSN联系人发送病毒文件。该病毒会先发送一条网站的广告消息,诱骗用户登陆某网站。接着发来一个FUNNY.EXE应用程序,当用户不知情的情况下,运行了发送来的病毒副本,就会导致中毒。
<B>
4、屏蔽网站:</B>
病毒会修改修改%System%\drivers\etc\hosts文件,把900多个常用网站重定向到某网站,目前该网站无法正常连接。
<B>5、清除工具:
</B>目前,趋势、江民、瑞星、金山公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。
趋势公司清除工具的下载地址:
http://www.trendmicro.com/download/pattern-dcs-disclaimer.asp
瑞星公司清除工具的下载地址:
http://it.rising.com.cn/service/technology/RS_MSN.htm
<B>病毒名称:</B> Worm_Funny.A
<B>病毒别名: </B>WORM_FUNNER.A [Trend]
I-Worm/MsnFunny [江民]
Worm.MSN.funny [瑞星]
Worm.MSNFunny [金山]
<B>病毒类型: </B>蠕虫
<B>病毒大小:</B>56,320 Bytes (压缩后);
312,832 Bytes (未压缩)
<B>受影响系统: </B>Win9x/WinMe/WinNT/Win2000/WinXP
<B>
病毒特性:</B>
该病毒主要通过MSN进行传播,病毒会向中毒机器里的MSN中的联系人发送病毒文件,MSN联系人会收到一个名为FUNNY.EXE的应用程序,接收并点击它就会感染机器,并会生成病毒自身的一些复制文件。病毒还会修改系统的注册表,使得自身能够在系统启动时自动运行,还会屏蔽一些网站。
用户一定要了解该病毒的主要特征,在使用MSN聊天过程中遇到此类问题,千万不要接收打开发送来的应用程序或是网站,避免病毒的感染和进一步的传播。同时,该病毒会有可能出现一系列的变种,计算机用户要做好防范措施。
<B>1、生成病毒文件:</B>
病毒运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝,分别为:
EXPLORER.EXE 、
IEXPLORE.EXE 、
USERINIT32.EXE ,
还有一个名为BSFIRST2.LOG的日志文件。
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
另外,在Windows98和ME系统中,病毒会用自身拷贝覆盖原始的RUNDLL32.EXE文件。
<B>
2、修改注册表项:</B>
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run 下添加
MMSystem = "MMSystem" = %System%\mmsystem.dll"", rundll32"
在Windows 2000和XP系统中,病毒还会创建如下注册表项目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下添加
Userinit = "userinit32.exe"
在Windows 98和ME系统中,病毒会修改SYSTEM.INI文件中的[boot]段落,具体如下:
Shell = %System%\explorer.exe
<B>
3、通过MSN传播:</B>
病毒会利用由病毒机器里的MSN向该用户的MSN联系人发送病毒文件。该病毒会先发送一条网站的广告消息,诱骗用户登陆某网站。接着发来一个FUNNY.EXE应用程序,当用户不知情的情况下,运行了发送来的病毒副本,就会导致中毒。
<B>
4、屏蔽网站:</B>
病毒会修改修改%System%\drivers\etc\hosts文件,把900多个常用网站重定向到某网站,目前该网站无法正常连接。
<B>5、清除工具:
</B>目前,趋势、江民、瑞星、金山公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。
趋势公司清除工具的下载地址:
http://www.trendmicro.com/download/pattern-dcs-disclaimer.asp
瑞星公司清除工具的下载地址:
http://it.rising.com.cn/service/technology/RS_MSN.htm
<P>第八期(2004.10.18- 2004.10.24)</P><P>通过对病毒传播情况的监测,我们发现近期感WORM_SPYBOT的用户较多,并且接到报告的多为企业用户,反映病毒在局域网内清除困难。
该病毒兼顾蠕虫和后门功能,病毒运行后在系统文件夹下生成多个病毒文件,并修改注册表项。病毒可以通过P2P或共享文件夹传播,同时病毒会尝试连接IRC服务器,一旦连结成功,就能够远程操纵被感染机器,导致泄密。针对该病毒,建议用户采取以下措施:
1、 对操作系统和常用软件进行更新,修补漏洞,抵御病毒入侵。
2、 取消局域网内一切不必要的共享,共享的部分要设置复杂的密码,最大程度的降低被病毒程序和黑客木马程序破译的可能性,同时减少病毒传播的途径,提高系统的安全性。
3、 安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
在2004年10月10日,出现通过MSN传播的病毒Worm_Funny.A,病毒会向染毒机器里的MSN中的联系人发送病毒文件funny.exe,如果接收到病毒文件的MSN联系人运行了这个文件,就会被病毒感染。
一些公司局域网内部人员会使用MSN进行交流,一旦其中一人感染,就有可能导致网络内部多人感染,影响工作的正常进行。虽然该病毒尚不能形成重大影响和破坏,但类似病毒变种很有可能相继出现,如果被嵌入木马程序或破坏性的功能,就会形成更为严重的影响和破坏。
该病毒与去年出现的一系列通过OICQ传播的病毒原理相似,只要将病毒文件和链接稍做更改,就可变换成另一个同类病毒,希望用户在使用MSN联络时,对此类问题引起注意,对于其它联系人发送过来的文件和链接部邀请信,不要点击无法确认的链接,下载无法确认的程序或文件,防止病毒的感染和进一步扩散。有关该病毒的详细信息请参见国家计算机病毒应急处理中心网站
http://www.antivirus-china.org.cn/content/Worm_Funny.A.
htm
<B>专家提醒</B>:
1、 计算机出现故障或不明文件,不要贸然删除文件或进行格式化,
应先用最新版本的杀毒软件对计算机进行全面扫描。
2、 若硬盘数据已遭到破坏, 不要急着进行格式化,因为绝大多数病毒不可能在短时间内将硬盘数据全数破坏, 应加以分析, 并及时进行恢复。
3、 不要轻易登录不明网站,一些不正规的网站缺少必要的安全措施和管理,比较容易被病毒感染,成为病毒传播的又一途径。</P>
该病毒兼顾蠕虫和后门功能,病毒运行后在系统文件夹下生成多个病毒文件,并修改注册表项。病毒可以通过P2P或共享文件夹传播,同时病毒会尝试连接IRC服务器,一旦连结成功,就能够远程操纵被感染机器,导致泄密。针对该病毒,建议用户采取以下措施:
1、 对操作系统和常用软件进行更新,修补漏洞,抵御病毒入侵。
2、 取消局域网内一切不必要的共享,共享的部分要设置复杂的密码,最大程度的降低被病毒程序和黑客木马程序破译的可能性,同时减少病毒传播的途径,提高系统的安全性。
3、 安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
在2004年10月10日,出现通过MSN传播的病毒Worm_Funny.A,病毒会向染毒机器里的MSN中的联系人发送病毒文件funny.exe,如果接收到病毒文件的MSN联系人运行了这个文件,就会被病毒感染。
一些公司局域网内部人员会使用MSN进行交流,一旦其中一人感染,就有可能导致网络内部多人感染,影响工作的正常进行。虽然该病毒尚不能形成重大影响和破坏,但类似病毒变种很有可能相继出现,如果被嵌入木马程序或破坏性的功能,就会形成更为严重的影响和破坏。
该病毒与去年出现的一系列通过OICQ传播的病毒原理相似,只要将病毒文件和链接稍做更改,就可变换成另一个同类病毒,希望用户在使用MSN联络时,对此类问题引起注意,对于其它联系人发送过来的文件和链接部邀请信,不要点击无法确认的链接,下载无法确认的程序或文件,防止病毒的感染和进一步扩散。有关该病毒的详细信息请参见国家计算机病毒应急处理中心网站
http://www.antivirus-china.org.cn/content/Worm_Funny.A.
htm
<B>专家提醒</B>:
1、 计算机出现故障或不明文件,不要贸然删除文件或进行格式化,
应先用最新版本的杀毒软件对计算机进行全面扫描。
2、 若硬盘数据已遭到破坏, 不要急着进行格式化,因为绝大多数病毒不可能在短时间内将硬盘数据全数破坏, 应加以分析, 并及时进行恢复。
3、 不要轻易登录不明网站,一些不正规的网站缺少必要的安全措施和管理,比较容易被病毒感染,成为病毒传播的又一途径。</P>
<P>第九期(2004.10.25- 2004.10.31)</P><P>通过对病毒传播情况的监测,近期传播广泛的仍以通过电子邮件传播的蠕虫病毒为主,数量较大的主要有"爱之门(Lovgate)"、"网络天空(Netsky)"和"贝革热"。针对该病毒,建议用户采取以下措施:
<B>1、</B> 由于此类病毒邮件的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>2、</B> 局域网要安装正版的企业版杀度软件,并进行合理配置,如果局域网内感染病毒,应合理部署,在杀毒过程中要全网同时进行,确保彻底清除。
近年来,网上交易逐步被大众接受和认可,在利益的驱动下,病毒的编制者也瞄准了这个方向,从2003年下半年开始,类似的病毒相继出现,他们多瞄准国际国内各的大型金融机构,窃取用户重要个人信息,实施犯罪。
同时,一种新的欺诈手段"网络仿冒"(phishing,也称"网络钓鱼")出现了,这种手段主要是通过仿冒现有的合法网页,专门骗取个人财务数据,如信用卡号、财务帐号和口令等。
Phishing来源于两个词,Phreaking + Fishing = Phishing,其中"Phreaking"的意思是找寻在电话系统内漏洞,不付电话费用,"Fishing"是使用鱼饵吸引猎物,也就是我们通常所讲的钓鱼。Phishing的目标多为著名金融机构、银行和在线交易的网站,它通常以邮件的形式到达,称"某网站新开发了一种新的账户验证方法…请点击这里进行验证"、"你的电子邮件帐户因为使用的不恰当将在几天后失效,如果你想继续使用它,请重新填写你的帐户信息"等,用户在点击这些链接后将会登陆到仿冒的网页上,而这些网页通常与真正的网页极为相似,从而骗取用户输入个人信息。2004年与往年相比,涉及金融和网上交易的的病毒事件和犯罪事件的大幅度上升。
针对此类病毒和欺诈行为,建议用户做好以下工作:
<B>1、</B> 不要轻信任何人发来的电子邮件和链接,对于其要求提供个人信息的内容不予理睬。也不要进行回复。
<B>2、</B> 由于很多邮件中使用了与一些著名金融机构或官方网站的极为近似的网址,诱使用户点击登陆,骗取用户信息。如果需要对类似事件进行确认,应当选择拨打公司电话进行咨询,或在浏览器中自己敲入网址登陆。
<B>3、</B> 不要轻易登陆不明网站,也不要随意下载使用软件,在安装使用下载的软件和程序前要确认无毒才能运行,因为很多黑客和木马会嵌入在一些应用程序中,在用户下载和安装使用这些程序时,注入到用户的机器中,并窃取用户数据和重要信息。
<B>4、</B> 正规的公司不会在发给客户的电子邮件中夹带附件,所以对于夹带附件的此类邮件尤其要引起注意。
<B>5、</B> 一旦登陆了此类网页,应当对机器进行全面的病毒清除。
<B>专家提醒:</B>
<B>1、</B> 很多病毒发作后,会破坏一些系统文件,导致在Window环境下无法杀毒,所以制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,只能使用软盘启动,如果提前制作了应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。
<B>2、</B> 计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。
</P>
<B>1、</B> 由于此类病毒邮件的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>2、</B> 局域网要安装正版的企业版杀度软件,并进行合理配置,如果局域网内感染病毒,应合理部署,在杀毒过程中要全网同时进行,确保彻底清除。
近年来,网上交易逐步被大众接受和认可,在利益的驱动下,病毒的编制者也瞄准了这个方向,从2003年下半年开始,类似的病毒相继出现,他们多瞄准国际国内各的大型金融机构,窃取用户重要个人信息,实施犯罪。
同时,一种新的欺诈手段"网络仿冒"(phishing,也称"网络钓鱼")出现了,这种手段主要是通过仿冒现有的合法网页,专门骗取个人财务数据,如信用卡号、财务帐号和口令等。
Phishing来源于两个词,Phreaking + Fishing = Phishing,其中"Phreaking"的意思是找寻在电话系统内漏洞,不付电话费用,"Fishing"是使用鱼饵吸引猎物,也就是我们通常所讲的钓鱼。Phishing的目标多为著名金融机构、银行和在线交易的网站,它通常以邮件的形式到达,称"某网站新开发了一种新的账户验证方法…请点击这里进行验证"、"你的电子邮件帐户因为使用的不恰当将在几天后失效,如果你想继续使用它,请重新填写你的帐户信息"等,用户在点击这些链接后将会登陆到仿冒的网页上,而这些网页通常与真正的网页极为相似,从而骗取用户输入个人信息。2004年与往年相比,涉及金融和网上交易的的病毒事件和犯罪事件的大幅度上升。
针对此类病毒和欺诈行为,建议用户做好以下工作:
<B>1、</B> 不要轻信任何人发来的电子邮件和链接,对于其要求提供个人信息的内容不予理睬。也不要进行回复。
<B>2、</B> 由于很多邮件中使用了与一些著名金融机构或官方网站的极为近似的网址,诱使用户点击登陆,骗取用户信息。如果需要对类似事件进行确认,应当选择拨打公司电话进行咨询,或在浏览器中自己敲入网址登陆。
<B>3、</B> 不要轻易登陆不明网站,也不要随意下载使用软件,在安装使用下载的软件和程序前要确认无毒才能运行,因为很多黑客和木马会嵌入在一些应用程序中,在用户下载和安装使用这些程序时,注入到用户的机器中,并窃取用户数据和重要信息。
<B>4、</B> 正规的公司不会在发给客户的电子邮件中夹带附件,所以对于夹带附件的此类邮件尤其要引起注意。
<B>5、</B> 一旦登陆了此类网页,应当对机器进行全面的病毒清除。
<B>专家提醒:</B>
<B>1、</B> 很多病毒发作后,会破坏一些系统文件,导致在Window环境下无法杀毒,所以制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,只能使用软盘启动,如果提前制作了应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。
<B>2、</B> 计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。
</P>
<P>第十期(2004.11.1- 2004.11.7)</P><P>一些病毒会对系统的安全属性进行修改,感染了这类病毒后,机器会在登陆互联网后,自动连结访问一些不健康的站点。
病毒感染系统后,首先修改会Internet Explorer 的安全级别,如将 "下载已签名的 ActiveX 控件"选项 设为"启用",这样病毒就可以下载伪装为ActiveX 控件的病毒。在此之后,在用户打开IE浏览器,病毒就会自动连结访问一些不健康的站点。针对此类病毒,建议用户采取以下措施:
1、 禁止使用Internet Explorer中的"自定义级别"按钮
2、 不要登陆随便不明网站,一些不正规的网站缺少必要的安全措施和日常的管理维护,比较容易被病毒感染,成为病毒传播的又一途径。
3、 如出现IE起始页面被更改或桌面上出现不明链接且无法删除等异常症状,应先断开网络,再进行病毒的清除工作。
"高波"(WORM_AGOBOT)病毒虽然已经出现了一段时间,但它仍有新的变种不断出现,并且很多用户出现了重复感染的现象,不少企业用户受到这个病毒的困扰。
病毒利用微软的多个安全漏洞(MS03-026、MS03-001、MS03-007),兼具蠕虫和后门功能,感染后会对系统进行多处修改,另外,病毒可通过共享进行传播,也会尝试连接IRC(Internet在线聊天软件)服务器,一旦连结成功,就能够远程操纵被感染机器,导致泄密。
病毒还会窃取一些流行的游戏软件的一些信息。针对该病毒,建议用户采取以下措施:
1、 修补操作系统漏洞,抵御病毒入侵。尤其是企业内的局域网,每台机器都要进行这项工作。
2、 系统管理员要为其它用户合理设置权限,在可能的情况下,将用户的权限设置为最低线,这样,在某一个用户的出现病毒感染的时候,对整个网络的影响也会相对降低。
3、 取消局域网内一切不必要的共享,共享的部分要设置复杂的密码,最大程度的降低被病毒程序和黑客木马程序破译的可能性,同时减少病毒传播的途径,提高系统的安全性。
4、 安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
<B>专家提醒:</B>
1、 若硬盘数据已遭到破坏, 不要急于进行格式化,因为绝大多数病毒不可能在短时间内将硬盘数据全数破坏, 应加以分析, 并及时进行恢复。
2、 在遭受了黑客的入侵以后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除黑客的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。
</P>
病毒感染系统后,首先修改会Internet Explorer 的安全级别,如将 "下载已签名的 ActiveX 控件"选项 设为"启用",这样病毒就可以下载伪装为ActiveX 控件的病毒。在此之后,在用户打开IE浏览器,病毒就会自动连结访问一些不健康的站点。针对此类病毒,建议用户采取以下措施:
1、 禁止使用Internet Explorer中的"自定义级别"按钮
2、 不要登陆随便不明网站,一些不正规的网站缺少必要的安全措施和日常的管理维护,比较容易被病毒感染,成为病毒传播的又一途径。
3、 如出现IE起始页面被更改或桌面上出现不明链接且无法删除等异常症状,应先断开网络,再进行病毒的清除工作。
"高波"(WORM_AGOBOT)病毒虽然已经出现了一段时间,但它仍有新的变种不断出现,并且很多用户出现了重复感染的现象,不少企业用户受到这个病毒的困扰。
病毒利用微软的多个安全漏洞(MS03-026、MS03-001、MS03-007),兼具蠕虫和后门功能,感染后会对系统进行多处修改,另外,病毒可通过共享进行传播,也会尝试连接IRC(Internet在线聊天软件)服务器,一旦连结成功,就能够远程操纵被感染机器,导致泄密。
病毒还会窃取一些流行的游戏软件的一些信息。针对该病毒,建议用户采取以下措施:
1、 修补操作系统漏洞,抵御病毒入侵。尤其是企业内的局域网,每台机器都要进行这项工作。
2、 系统管理员要为其它用户合理设置权限,在可能的情况下,将用户的权限设置为最低线,这样,在某一个用户的出现病毒感染的时候,对整个网络的影响也会相对降低。
3、 取消局域网内一切不必要的共享,共享的部分要设置复杂的密码,最大程度的降低被病毒程序和黑客木马程序破译的可能性,同时减少病毒传播的途径,提高系统的安全性。
4、 安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
<B>专家提醒:</B>
1、 若硬盘数据已遭到破坏, 不要急于进行格式化,因为绝大多数病毒不可能在短时间内将硬盘数据全数破坏, 应加以分析, 并及时进行恢复。
2、 在遭受了黑客的入侵以后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除黑客的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。
</P>
<P>第十一期(2004.11.8- 2004.11.14)</P><P>近日,IE浏览器又出现一个严重的安全漏洞,恶意用户可以利用HTML电子邮件信息或恶意网页,控制被计算机系统。由于利用该漏洞的代码已经被公布在互联网上,因此,目前这一漏洞具有高危险性。
IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出,新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时,都有可能会受到攻击。
目前,只有安装了Windows XP SP2的系统就不存在这一漏洞, Windows XP SP1和Windows 2000即使安装了所有的补丁,其所带的IE 6.0浏览器仍然存在这一漏洞。目前微软还没有发布相关的安全补丁。
<B>针对该漏洞的建议</B>
<B>
1、</B> 使用Windows XP的用户,安装Windows XP SP2
<B>
2、</B> 系统管理员还可以禁用活动脚本(active scripting),阻止访问非主动链接
<B>
3、</B> 在电子邮件中使用纯文本,这样也可以减少部分危险性
<B>
4、</B> 浏览网页时提高警惕,不要随便进入不明网站,一旦发现IE浏览器失去响
应,立即终止IE进程,并断开网络连接,查找问题
<B>
5、</B> 及时更新防病毒软件,并启动"实时监控"功能
"贝革热"病毒变种Worm_Bbeagle.AT
国家计算机病毒应急处理中心通过对互联网的监测,发现"贝革热"病毒出现了新的变种。该变种通过邮件和共享文件夹进行传播,病毒运行后修改注册表,在系统目录下创建文件。
病毒在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到病毒样本。同时病毒还会终止一些安全软件的运行。病毒邮件的附件名称为price或joke,邮件的内容为":))"。由于该病毒特征较为明显,希望用户引起注意,遇到此类邮件立即删除。
<B>病毒名称:</B>Worm_Bbeagle.AT("贝革热"病毒变种)
<B>其它英文命名:</B>Win32.Bagle.AQ (Computer Associates)
Worm_Bbeagle.bf(瑞星)
Worm_Bbeagle.t(金山)
W32.Beagle.AV@mm (Symantec)
W32/Bagle.BC.worm (Panda)
WORM_BAGLE.AT (Trend Micro)
Bagle.AT (F-Secure)
W32/Bagle.bb@mm (McAfee)
W32/Bagle-AU (Sophos)
I-Worm.Bagle.at (Kaspersky)
W32/Bagle.AQ@mm (Norman)
<B>感染系统:</B>Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP
<B>病毒特征:</B>
<B>1、生成病毒文件</B>
病毒运行后在%System%目录下生成wingo.exe、wingo.exeopen、wingo.exeopenopen。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)
<B>
2、修改注册表项</B>
病毒会添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"wingo" = "%System%\wingo.exe"
病毒还会在HKEY_CURRENT_USER\Software\Microsoft\Params下添加
"Timekey" = "[ 随机变量 ]"
<B>3、通过电子邮件传播</B>
病毒通过电子邮件进行传播,病毒搜索被感染计算机内多种类型的文件(文件类型见文档末尾),从中找到邮件地址,并使用自带得SMTP引擎向这些地址发送病毒邮件,病毒同时会避免向一些包含特定字符的地址发送邮件(过滤的字符见文档末尾)。病毒邮件格式如下
发信人:虚假的地址
<B>
主题:(为下列之一)</B>
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
内容:
:))
<B>附件名称:(为下列之一)</B>
Price
price
Joke
<B>附件的扩展名:(为下列之一)</B>
COM
CPL
EXE
SCR
<B>
4、通过网络共享进行传播</B>
病毒搜索包含字符串shar的文件夹,并在找到的文件夹下生成自身的拷贝,拷贝有多种名称,如"Kaspersky Antivirus 5.0"、"WinAmp 6 New!.exe"、"Porno Screensaver.scr"。
<B>5、阻止安全软件的运行</B>
病毒为了保护自身的运行,会终止一些与安全软件相关的进程,以便阻止他们的运行。
<B>清除该病毒的一些建议:</B>
<B>
1、终止病毒进程
</B>在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程wingo.exe、wingo.exeopen、wingo.exeopenopen,并终止其运行。
<B>
2、注册表的恢复</B>
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"wingo" = "%System%\wingo.exe"
依次双击左侧的HKEY_CURRENT_USER\Software\Microsoft\Params ,并删除面板右侧的"Timekey" = "[ 随机变量 ]"
<B>3、删除病毒释放的文件</B>
点击"开始--〉查找--〉文件和文件夹",查找文件wingo.exeopen、wingo.exeopenopen,并将找到的文件删除。
<B>4、运行杀毒软件,对系统进行全面的病毒查杀</B>
<B>专家提醒:</B>
<B>1、</B>因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
<B>2、</B>对系统和重要数据做好备份,而且在本机备份外,最好同时做异地备份,如备份在其它机器、光盘或移动硬盘上,确保备份的安全性。
<B>3、</B>各企事业单位要建立健全企业内部信息安全管理制度,建立病毒事件出现后的应急机制和处置方案,确保本单位在病毒事件发生时能作好及时有效的处理工作。
</P>
IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出,新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时,都有可能会受到攻击。
目前,只有安装了Windows XP SP2的系统就不存在这一漏洞, Windows XP SP1和Windows 2000即使安装了所有的补丁,其所带的IE 6.0浏览器仍然存在这一漏洞。目前微软还没有发布相关的安全补丁。
<B>针对该漏洞的建议</B>
<B>
1、</B> 使用Windows XP的用户,安装Windows XP SP2
<B>
2、</B> 系统管理员还可以禁用活动脚本(active scripting),阻止访问非主动链接
<B>
3、</B> 在电子邮件中使用纯文本,这样也可以减少部分危险性
<B>
4、</B> 浏览网页时提高警惕,不要随便进入不明网站,一旦发现IE浏览器失去响
应,立即终止IE进程,并断开网络连接,查找问题
<B>
5、</B> 及时更新防病毒软件,并启动"实时监控"功能
"贝革热"病毒变种Worm_Bbeagle.AT
国家计算机病毒应急处理中心通过对互联网的监测,发现"贝革热"病毒出现了新的变种。该变种通过邮件和共享文件夹进行传播,病毒运行后修改注册表,在系统目录下创建文件。
病毒在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到病毒样本。同时病毒还会终止一些安全软件的运行。病毒邮件的附件名称为price或joke,邮件的内容为":))"。由于该病毒特征较为明显,希望用户引起注意,遇到此类邮件立即删除。
<B>病毒名称:</B>Worm_Bbeagle.AT("贝革热"病毒变种)
<B>其它英文命名:</B>Win32.Bagle.AQ (Computer Associates)
Worm_Bbeagle.bf(瑞星)
Worm_Bbeagle.t(金山)
W32.Beagle.AV@mm (Symantec)
W32/Bagle.BC.worm (Panda)
WORM_BAGLE.AT (Trend Micro)
Bagle.AT (F-Secure)
W32/Bagle.bb@mm (McAfee)
W32/Bagle-AU (Sophos)
I-Worm.Bagle.at (Kaspersky)
W32/Bagle.AQ@mm (Norman)
<B>感染系统:</B>Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP
<B>病毒特征:</B>
<B>1、生成病毒文件</B>
病毒运行后在%System%目录下生成wingo.exe、wingo.exeopen、wingo.exeopenopen。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)
<B>
2、修改注册表项</B>
病毒会添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"wingo" = "%System%\wingo.exe"
病毒还会在HKEY_CURRENT_USER\Software\Microsoft\Params下添加
"Timekey" = "[ 随机变量 ]"
<B>3、通过电子邮件传播</B>
病毒通过电子邮件进行传播,病毒搜索被感染计算机内多种类型的文件(文件类型见文档末尾),从中找到邮件地址,并使用自带得SMTP引擎向这些地址发送病毒邮件,病毒同时会避免向一些包含特定字符的地址发送邮件(过滤的字符见文档末尾)。病毒邮件格式如下
发信人:虚假的地址
<B>
主题:(为下列之一)</B>
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
内容:
:))
<B>附件名称:(为下列之一)</B>
Price
price
Joke
<B>附件的扩展名:(为下列之一)</B>
COM
CPL
EXE
SCR
<B>
4、通过网络共享进行传播</B>
病毒搜索包含字符串shar的文件夹,并在找到的文件夹下生成自身的拷贝,拷贝有多种名称,如"Kaspersky Antivirus 5.0"、"WinAmp 6 New!.exe"、"Porno Screensaver.scr"。
<B>5、阻止安全软件的运行</B>
病毒为了保护自身的运行,会终止一些与安全软件相关的进程,以便阻止他们的运行。
<B>清除该病毒的一些建议:</B>
<B>
1、终止病毒进程
</B>在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程wingo.exe、wingo.exeopen、wingo.exeopenopen,并终止其运行。
<B>
2、注册表的恢复</B>
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"wingo" = "%System%\wingo.exe"
依次双击左侧的HKEY_CURRENT_USER\Software\Microsoft\Params ,并删除面板右侧的"Timekey" = "[ 随机变量 ]"
<B>3、删除病毒释放的文件</B>
点击"开始--〉查找--〉文件和文件夹",查找文件wingo.exeopen、wingo.exeopenopen,并将找到的文件删除。
<B>4、运行杀毒软件,对系统进行全面的病毒查杀</B>
<B>专家提醒:</B>
<B>1、</B>因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
<B>2、</B>对系统和重要数据做好备份,而且在本机备份外,最好同时做异地备份,如备份在其它机器、光盘或移动硬盘上,确保备份的安全性。
<B>3、</B>各企事业单位要建立健全企业内部信息安全管理制度,建立病毒事件出现后的应急机制和处置方案,确保本单位在病毒事件发生时能作好及时有效的处理工作。
</P>
<P>求救!!</P><P>我的机器安装的是KV2005,每次没过多久就弹出对话框,说\system32\TETPXXXX文件发现病毒Backdoor\Rbot.l,可是我用KV2005杀毒却没发现病毒.在线杀也没病毒.!!</P><P>我每天都困扰着!!~~~</P>
<P>第十二期(2004.11.15- 2004.11.21)</P><P>近日,没有重大病毒出现,只是邮件病毒有反弹回升的势头,有不少计算机用户受到感染,邮件病毒可能还会继续威胁计算机用户。因此,计算机用户对现在流行病毒的特点要有一定的了解,例如邮件病毒、蠕虫病毒等。同时建议计算机用户不要收取来历不明的邮件,也不要打开邮件的附件。及时升级杀毒软件,打开防火墙,做好防病毒的措施。
另外,近期还出现了与去年爆发的冲击波病毒非常类似的一个新病毒,也是利用相同的RPC系统漏洞进行传播。由于该病毒存在网络攻击行为,对局域网的影响很大,会严重阻塞企业网络,用户在最近一个星期要提高病毒防范措施,特别是企业网络管理员要及时杀毒,并且打RPC漏洞补丁。
<B>专家提醒:</B>
<B>
1、</B>很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
<B>2、</B>对不明来历的邮件要谨慎收取,不要轻易打开不明邮件的附件
<B>3、</B> 计算机用户要时升级杀毒软件,启用"实时监控"功能</P>
另外,近期还出现了与去年爆发的冲击波病毒非常类似的一个新病毒,也是利用相同的RPC系统漏洞进行传播。由于该病毒存在网络攻击行为,对局域网的影响很大,会严重阻塞企业网络,用户在最近一个星期要提高病毒防范措施,特别是企业网络管理员要及时杀毒,并且打RPC漏洞补丁。
<B>专家提醒:</B>
<B>
1、</B>很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
<B>2、</B>对不明来历的邮件要谨慎收取,不要轻易打开不明邮件的附件
<B>3、</B> 计算机用户要时升级杀毒软件,启用"实时监控"功能</P>
<B></B>
<P>求救!!</P><P>我的机器安装的是KV2005,每次没过多久就弹出对话框,说\system32\TETPXXXX文件发现病毒Backdoor\Rbot.l,可是我用KV2005杀毒却没发现病毒.在线杀也没病毒.!!</P><P>我每天都困扰着!!~~~</P>求求老大呀!!帮帮我啊!
<P>求救!!</P><P>我的机器安装的是KV2005,每次没过多久就弹出对话框,说\system32\TETPXXXX文件发现病毒Backdoor\Rbot.l,可是我用KV2005杀毒却没发现病毒.在线杀也没病毒.!!</P><P>我每天都困扰着!!~~~</P>求求老大呀!!帮帮我啊!
<B>以下是引用<I>yayokonato</I>在2004-11-21 0:23:00的发言:</B>
<B></B>
<P>求救!!</P>
<P>我的机器安装的是KV2005,每次没过多久就弹出对话框,说\system32\TETPXXXX文件发现病毒Backdoor\Rbot.l,可是我用KV2005杀毒却没发现病毒.在线杀也没病毒.!!</P>
<P>我每天都困扰着!!~~~</P>求求老大呀!!帮帮我啊!
<P>什么系统啊?说不定不是病毒呢?详细点啊!</P>
<P>第十三期(2004.11.22- 2004.11.28)</P><P>近来,木马、蠕虫以及黑客和后门程序是病毒传播的主要类型,并且有害程序呈现混合型特点,也就是说从功能上讲聚集了蠕虫、木马、黑客等于一身,同时利用了系统漏洞、邮件、网络共享等多种途径进行传播,单一从病毒的种类上将更难进行划分。因此,建议计算机用户要对这几种类型的病毒引起足够的重视,采取一定的有效措施来防范病毒的传播。
此外,邮件病毒仍要引起计算机用户的注意,有些邮件病毒还出现了欺骗诱惑用户的现象,给计算机用户造成了一定的损失。因此,建议计算机用户要对现今流行病毒的特点有一定的了解。及时升级杀毒软件,打开防火墙,做好防病毒的措施。
<B>专家提醒:</B>
<B>1、</B>在遭受了黑客的入侵以后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除黑客的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。
<B>2、</B>定时升级杀毒软件,做好病毒检测和清除的相关配置,并启动实时监控系统和病毒防火墙。
<B>3、</B>计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒大范围传播,造成更严重的危害。
<B>4、</B>因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
<B>5、</B>要谨慎收发电子邮件,不要随便打开不明邮件地址的来信和可疑附件。
</P>
此外,邮件病毒仍要引起计算机用户的注意,有些邮件病毒还出现了欺骗诱惑用户的现象,给计算机用户造成了一定的损失。因此,建议计算机用户要对现今流行病毒的特点有一定的了解。及时升级杀毒软件,打开防火墙,做好防病毒的措施。
<B>专家提醒:</B>
<B>1、</B>在遭受了黑客的入侵以后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除黑客的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。
<B>2、</B>定时升级杀毒软件,做好病毒检测和清除的相关配置,并启动实时监控系统和病毒防火墙。
<B>3、</B>计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒大范围传播,造成更严重的危害。
<B>4、</B>因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
<B>5、</B>要谨慎收发电子邮件,不要随便打开不明邮件地址的来信和可疑附件。
</P>
<P>第十四期(2004.11.29- 2004.12.5)</P><P>近期,蠕虫和邮件病毒是病毒传播的主要类型,估计这些类型的病毒还会在今后相当长的时间里继续对计算机用户造成危害。因此,建议计算机用户要对这几种类型的病毒引起足够的重视,采取一定的有效措施来防范病毒的传播。
此外,微软刚刚发布了十个安全公告,这些公告描述并修复了多个安全漏洞,其中七个公告属于紧急风险级别,三个公告属于重要风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。十个安全公告分别为:
<B>一、紧急级别公告:</B>
<B>1、</B>MS04-032 Microsoft Windows安全更新(840987)
http://www.microsoft.com/technet/security/bulletin/MS04-032.mspx
<B>
受影响软件:</B> Windows NT, Windows 2000, Windows XP, Windows 2003
<B>
漏洞概要:</B> Windows中存在1个远程代码执行漏洞,2个权限提升漏洞和1个拒绝服务漏
洞.最严重的漏洞可能允许在受影响系统上执行远程代码.
<B>2、</B>MS04-033 Microsoft Excel中的漏洞可能允许远程代码执行(886836)
http://www.microsoft.com/technet/security/bulletin/MS04-033.mspx
<B>受影响软件: </B>Office, Excel, Office for Mac, Excel for Mac
<B>漏洞概要:</B> Microsoft Excel中存在的漏洞可能允许在受影响系统上执行远程代码.
<B>3、</B>MS04-034 压缩(zipped)文件夹中的漏洞可能允许远程代码执行(873376)
http://www.microsoft.com/technet/security/bulletin/MS04-034.mspx
<B>受影响软件: </B>Windows XP, Windows Server 2003
<B>
漏洞概要: </B>Windows处理压缩(zipped)文件夹的方式存在漏洞,可能允许在受影响系
统上执行远程代码.
<B>4、</B>MS04-035 SMTP中的漏洞允许远程代码执行(885881)
http://www.microsoft.com/technet/security/bulletin/MS04-035.mspx
<B>
受影响软件: </B>Windows 2003和Exchange 2003
<B>
漏洞概要: </B>Windows SMTP组件和Exchange Server路由引擎组件中存在的漏洞可能允
许在受影响系统上执行远程代码.
<B>5、</B>MS04-036 NNTP中的漏洞可能允许远程代码执行(883935)
http://www.microsoft.com/technet/security/bulletin/MS04-036.mspx
<B>
受影响软件:</B> Windows NT, Windows 2000, Windows 2003 和Exchange 2000/2003
<B>
漏洞概要: </B>Windows NNTP组件中存在的漏洞可能允许在受影响系统上执行远程代码.
<B>6、</B>MS04-037 Windows Shell中的漏洞可能允许远程代码执行(841356)
http://www.microsoft.com/technet/security/bulletin/MS04-037.mspx
<B>
受影响软件:</B> Windows NT, Windows XP, Windows 2000, Windows 2003
<B>
漏洞概要:</B> Windows Shell启动应用程序的方式存在漏洞.程序组转换器(Program Group
Converter)处理特别创建的请求也导致了1个漏洞.这2个漏洞都允许在受影响系统上
执行远程代码.
<B>7、</B>MS04-038 Internet Explorer累计补丁(834707)
http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx
<B>
受影响软件: </B>Windows, Internet Explorer
<B>
漏洞概要: </B>在Internet Explorer中存在5个远程代码执行漏洞和3个信息泄漏漏洞.
<B>二、重要级别公告:</B>
<B>1、</B>MS04-029 RPC运行时库库中的漏洞可能允许信息泄漏和拒绝服务(873350)
http://www.microsoft.com/technet/security/bulletin/MS04-029.mspx
<B>
受影响软件:</B> Windows NT 4.0
<B>
漏洞概要: </B>信息泄漏和拒绝服务漏洞可能导致受影响的系统停止响应,或可能读取部
分活动内存内容.
<B>2、</B>MS04-030 WebDav XML消息处理器中的漏洞可能导致拒绝服务(824151)
http://www.microsoft.com/technet/security/bulletin/MS04-030.mspx
<B>
受影响软件:</B> Windows 2000/XP/2003 和 IIS 5.0/5.1/6.0
<B>
漏洞概要:</B> 拒绝服务漏洞可能导致受影响系统停止响应请求.
<B>3、</B>MS04-031 NetDDE中的漏洞可能允许远程代码执行(841533)
http://www.microsoft.com/technet/security/bulletin/MS04-031.mspx
<B>受影响软件:</B> Windows 98/NT/XP/2000/2003
<B>漏洞概要: </B>由于未检查的缓冲区导致NetDDE中存在远程代码执行漏洞.
我们强烈建议使用Windows操作系统的用户立刻安装上述补丁.您可以通过Windows自带的"Windows update"程序进行自动升级,也可以从上述安全公告的页面中找到相应补丁
手工进行安装.
<B>专家提醒:</B>
<B>1、</B>定时升级杀毒软件,做好病毒检测和清除的相关配置,并启动实时监控系统和病毒防火墙。
<B>2、</B>因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
<B>3、</B>要谨慎收发电子邮件,不要随便打开不明邮件地址的来信和可疑附件。
</P>
此外,微软刚刚发布了十个安全公告,这些公告描述并修复了多个安全漏洞,其中七个公告属于紧急风险级别,三个公告属于重要风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。十个安全公告分别为:
<B>一、紧急级别公告:</B>
<B>1、</B>MS04-032 Microsoft Windows安全更新(840987)
http://www.microsoft.com/technet/security/bulletin/MS04-032.mspx
<B>
受影响软件:</B> Windows NT, Windows 2000, Windows XP, Windows 2003
<B>
漏洞概要:</B> Windows中存在1个远程代码执行漏洞,2个权限提升漏洞和1个拒绝服务漏
洞.最严重的漏洞可能允许在受影响系统上执行远程代码.
<B>2、</B>MS04-033 Microsoft Excel中的漏洞可能允许远程代码执行(886836)
http://www.microsoft.com/technet/security/bulletin/MS04-033.mspx
<B>受影响软件: </B>Office, Excel, Office for Mac, Excel for Mac
<B>漏洞概要:</B> Microsoft Excel中存在的漏洞可能允许在受影响系统上执行远程代码.
<B>3、</B>MS04-034 压缩(zipped)文件夹中的漏洞可能允许远程代码执行(873376)
http://www.microsoft.com/technet/security/bulletin/MS04-034.mspx
<B>受影响软件: </B>Windows XP, Windows Server 2003
<B>
漏洞概要: </B>Windows处理压缩(zipped)文件夹的方式存在漏洞,可能允许在受影响系
统上执行远程代码.
<B>4、</B>MS04-035 SMTP中的漏洞允许远程代码执行(885881)
http://www.microsoft.com/technet/security/bulletin/MS04-035.mspx
<B>
受影响软件: </B>Windows 2003和Exchange 2003
<B>
漏洞概要: </B>Windows SMTP组件和Exchange Server路由引擎组件中存在的漏洞可能允
许在受影响系统上执行远程代码.
<B>5、</B>MS04-036 NNTP中的漏洞可能允许远程代码执行(883935)
http://www.microsoft.com/technet/security/bulletin/MS04-036.mspx
<B>
受影响软件:</B> Windows NT, Windows 2000, Windows 2003 和Exchange 2000/2003
<B>
漏洞概要: </B>Windows NNTP组件中存在的漏洞可能允许在受影响系统上执行远程代码.
<B>6、</B>MS04-037 Windows Shell中的漏洞可能允许远程代码执行(841356)
http://www.microsoft.com/technet/security/bulletin/MS04-037.mspx
<B>
受影响软件:</B> Windows NT, Windows XP, Windows 2000, Windows 2003
<B>
漏洞概要:</B> Windows Shell启动应用程序的方式存在漏洞.程序组转换器(Program Group
Converter)处理特别创建的请求也导致了1个漏洞.这2个漏洞都允许在受影响系统上
执行远程代码.
<B>7、</B>MS04-038 Internet Explorer累计补丁(834707)
http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx
<B>
受影响软件: </B>Windows, Internet Explorer
<B>
漏洞概要: </B>在Internet Explorer中存在5个远程代码执行漏洞和3个信息泄漏漏洞.
<B>二、重要级别公告:</B>
<B>1、</B>MS04-029 RPC运行时库库中的漏洞可能允许信息泄漏和拒绝服务(873350)
http://www.microsoft.com/technet/security/bulletin/MS04-029.mspx
<B>
受影响软件:</B> Windows NT 4.0
<B>
漏洞概要: </B>信息泄漏和拒绝服务漏洞可能导致受影响的系统停止响应,或可能读取部
分活动内存内容.
<B>2、</B>MS04-030 WebDav XML消息处理器中的漏洞可能导致拒绝服务(824151)
http://www.microsoft.com/technet/security/bulletin/MS04-030.mspx
<B>
受影响软件:</B> Windows 2000/XP/2003 和 IIS 5.0/5.1/6.0
<B>
漏洞概要:</B> 拒绝服务漏洞可能导致受影响系统停止响应请求.
<B>3、</B>MS04-031 NetDDE中的漏洞可能允许远程代码执行(841533)
http://www.microsoft.com/technet/security/bulletin/MS04-031.mspx
<B>受影响软件:</B> Windows 98/NT/XP/2000/2003
<B>漏洞概要: </B>由于未检查的缓冲区导致NetDDE中存在远程代码执行漏洞.
我们强烈建议使用Windows操作系统的用户立刻安装上述补丁.您可以通过Windows自带的"Windows update"程序进行自动升级,也可以从上述安全公告的页面中找到相应补丁
手工进行安装.
<B>专家提醒:</B>
<B>1、</B>定时升级杀毒软件,做好病毒检测和清除的相关配置,并启动实时监控系统和病毒防火墙。
<B>2、</B>因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
<B>3、</B>要谨慎收发电子邮件,不要随便打开不明邮件地址的来信和可疑附件。
</P>
想上网就不要怕病毒
<P>第十五期(2004.12.6- 2004.12.12)</P><P>国家计算机病毒应急处理中心通过对互联网的监测,发现病毒
"WORM_ScardSer.A"。该病毒利用阿拉法特逝世的消息来引诱用户,运行病毒附件,进行传播。信件的标题为"Latest News about Arafat!!(阿拉法特的最新消息!!)",其内容为" Hello guys!Latest news about Arafat!Unimaginable!!!!! "(嗨伙计们,最新的阿拉法特新闻!太不可思议了!),邮件带有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件。另一个附件为ARAFAT_2EMF,该文件可以利用微软漏洞。当附件被打开后,上述文件会在受感染的系统中生成一份自身拷贝。该病毒还可利用网络共享进行传播。希望广大用户留意此类邮件,不要出于好奇运行附件,形成感染。
<B>病毒名称: </B>WORM_ScardSer.A
<B>其他病毒名:</B>WORM_GOLTEN.A(Trend Micro)
W32.Scard(Symantec)
Worm/Alert.a(江民)
Worm.SCardSer(瑞星)
<B>感染系统:</B>Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003,
Windows XP
<B>病毒特征:</B>
<B>1、生成病毒文件</B>
病毒运行后在%System%目录下生成ALERTER.EXE、COMWSOCK.DLL、DMSOCKDLL、 IETCOM.DLL、SCARDSER.EXE、SPTRES.DLL。(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)
<B>2、修改注册表项</B>
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NTCurrentVersion\Winlogon下创建Shell = "Explorer.exe"
病毒还会生成如下注册条目,以便能够下载远程文件,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 下创建
Dfile = "http://www.abost.com/update/031.exe"
<B>3、通过电子邮件传播</B>
<B>
病毒电子邮件特征如下:</B>
<B>
主题:</B> Latest News about Arafat!!!
<B>正文:</B>
Hello guys!
Latest news about Arafat!
Unimaginable!!!!!
该病毒含有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件,显示内容如下:另一个附件为ARAFAT_2.EMF,该文件包含了可以利用微软Windows XP Metafile Heap Overflow的漏洞。当附件被打开后,上述文件会在受感染的系统中生成一份自身拷贝。
<B>4、通过网络共享传播</B>
病毒会尝试通过网络共享驱动器传播,它会在默认的网络文件夹ADMIN$和IPC$中运行病毒自身的拷贝。病毒会尝试使用自带的密码列表连接网络共享驱动器,来实施进一步的传播。
<B>5、病毒运行</B>
当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒会在系统中生成如下进
程: LSASS.EXE、EXPLORER.EXE 。病毒还会安装.DLL文件,此文件会从远程位置下载其他组件并可用于自身传播。病毒会添加注册表项目,用于初始化远程文件下载。
<B>手工清除该病毒的相关操作:</B>
<B>1、删除恶意文件
</B>右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。在名称输入框中, 输入:COMWSOCK.DLL、DMSOCK.DLL、IETCOM.DLL、SPTRES.DLL ,找到该文件然后选择删除。
<B>
2、修复注册表</B>
打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>WindowsNT>
CurrentVersion>Winlogon ,找到右侧面板中Shell = "Explorer.exe",并将其删除。
依次双击左边的面板中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ,找到右侧面板中的Dfile = "http://www.abost.com/update/031.exe",并将其删除。
<B>3、修补系统漏洞</B>
Microsoft Security Bulletin MS04-032,到以下网址下载该漏洞的补丁程序
http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx
<B>专家提醒:</B>
<B>1、</B>安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
<B>2、</B>不要轻易登陆不明网站,也不要随意下载使用软件,在安装使用下载的软件和程序前要确认无毒才能运行,因为很多黑客和木马会嵌入在一些应用程序中,在用户下载和安装使用这些程序时,注入到用户的机器中,并窃取用户数据和重要信息。
</P>
"WORM_ScardSer.A"。该病毒利用阿拉法特逝世的消息来引诱用户,运行病毒附件,进行传播。信件的标题为"Latest News about Arafat!!(阿拉法特的最新消息!!)",其内容为" Hello guys!Latest news about Arafat!Unimaginable!!!!! "(嗨伙计们,最新的阿拉法特新闻!太不可思议了!),邮件带有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件。另一个附件为ARAFAT_2EMF,该文件可以利用微软漏洞。当附件被打开后,上述文件会在受感染的系统中生成一份自身拷贝。该病毒还可利用网络共享进行传播。希望广大用户留意此类邮件,不要出于好奇运行附件,形成感染。
<B>病毒名称: </B>WORM_ScardSer.A
<B>其他病毒名:</B>WORM_GOLTEN.A(Trend Micro)
W32.Scard(Symantec)
Worm/Alert.a(江民)
Worm.SCardSer(瑞星)
<B>感染系统:</B>Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003,
Windows XP
<B>病毒特征:</B>
<B>1、生成病毒文件</B>
病毒运行后在%System%目录下生成ALERTER.EXE、COMWSOCK.DLL、DMSOCKDLL、 IETCOM.DLL、SCARDSER.EXE、SPTRES.DLL。(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)
<B>2、修改注册表项</B>
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NTCurrentVersion\Winlogon下创建Shell = "Explorer.exe"
病毒还会生成如下注册条目,以便能够下载远程文件,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 下创建
Dfile = "http://www.abost.com/update/031.exe"
<B>3、通过电子邮件传播</B>
<B>
病毒电子邮件特征如下:</B>
<B>
主题:</B> Latest News about Arafat!!!
<B>正文:</B>
Hello guys!
Latest news about Arafat!
Unimaginable!!!!!
该病毒含有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件,显示内容如下:另一个附件为ARAFAT_2.EMF,该文件包含了可以利用微软Windows XP Metafile Heap Overflow的漏洞。当附件被打开后,上述文件会在受感染的系统中生成一份自身拷贝。
<B>4、通过网络共享传播</B>
病毒会尝试通过网络共享驱动器传播,它会在默认的网络文件夹ADMIN$和IPC$中运行病毒自身的拷贝。病毒会尝试使用自带的密码列表连接网络共享驱动器,来实施进一步的传播。
<B>5、病毒运行</B>
当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒会在系统中生成如下进
程: LSASS.EXE、EXPLORER.EXE 。病毒还会安装.DLL文件,此文件会从远程位置下载其他组件并可用于自身传播。病毒会添加注册表项目,用于初始化远程文件下载。
<B>手工清除该病毒的相关操作:</B>
<B>1、删除恶意文件
</B>右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。在名称输入框中, 输入:COMWSOCK.DLL、DMSOCK.DLL、IETCOM.DLL、SPTRES.DLL ,找到该文件然后选择删除。
<B>
2、修复注册表</B>
打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>WindowsNT>
CurrentVersion>Winlogon ,找到右侧面板中Shell = "Explorer.exe",并将其删除。
依次双击左边的面板中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ,找到右侧面板中的Dfile = "http://www.abost.com/update/031.exe",并将其删除。
<B>3、修补系统漏洞</B>
Microsoft Security Bulletin MS04-032,到以下网址下载该漏洞的补丁程序
http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx
<B>专家提醒:</B>
<B>1、</B>安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
<B>2、</B>不要轻易登陆不明网站,也不要随意下载使用软件,在安装使用下载的软件和程序前要确认无毒才能运行,因为很多黑客和木马会嵌入在一些应用程序中,在用户下载和安装使用这些程序时,注入到用户的机器中,并窃取用户数据和重要信息。
</P>
<P>第十六期(2004.12.13- 2004.12.19)</P><P>2004年,黑客木马程序的数量有显著的增加,占到了病毒数量的半数以上。病毒为了增强自身的传播能力和范围,采用了更多的方法和途径。其传播途径主要是聊天软件、操作系统漏洞、浏览网页(利用了IE漏洞)和网络下载等。并且大多数黑客木马程序在入侵到系统中后,还会在其中安装其他的恶意程序,以达到其预期目的,如间谍程序、广告软件等,同时也有可能成为其它病毒入侵的又一途径。
值得引起关注的是,黑客和木马程序的攻击目标也在发生变化,他们不再像以往满足于成功攻击知名网站而带来的"虚名",而更多的转向追求经济利益,随之而来的是互联网中此类案件的增多。
他们调转矛头,指向了金融证券、网络游戏、网上交易等涉及经济利益的领域。木马通常会以欺骗的方式进入用户系统,之后采用记录键盘信息的方式盗取用户帐号、密码等重要信息,并将其盗取的信息发送给指定的地址或邮箱,进行违法活动。另外,病毒制作者还会通过各种方式将窃取到的用户信息出售,以获取经济利益。
另外,通过OICQ、MSN等聊天软件传播的木马病毒的数量也有增无减。
<B>针对此类病毒,建议用户注意</B>:
<B>1、</B>不要随便登录不明网站,一些网站缺乏正规的管理和维护,很容易成为病毒传播的源头。
<B>2、</B>下载软件和应用程序,应选择正规的网站,并在确认无毒后再安装使用。
<B>3、</B>对于OICQ、MSN等聊天软件发送过来的链接和文件,不要随便点击和下载,应在确认真实可靠后再进行相应的操作。
<B>4、</B>在遭受了黑客或木马程序的入侵以后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除黑客的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。
通过对病毒传播情况的监测,近期传播广泛的仍以通过电子邮件传播的蠕虫病毒为主,数量较大的主要有"爱之门(Lovgate)"、"网络天空(Netsky)"和"贝革热"。还有微软已经发布了安全补丁MS04-040: 针对IE的安全升级,没有打补丁的计算机用户请及时给系统打补丁,以免受到利用此IE漏洞进行传播的病毒的侵害。
<B>本周发作:</B>
<B>病毒名称:</B>"杀手十三" (Worm_Killonce.A)
<B>病毒类型:</B>蠕虫病毒
<B>发作日期:</B>12月13日
<B>危害程度:</B>12月13日发作,发作后将删除C盘根目录下的所有文件,造成严重的破坏。
<B>病毒名称:</B>"求职信"(Worm_Klez.A)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>12月13日
<B>危害程度:</B>向外发送染毒邮件,破坏硬盘上的数据。终止反病毒软件的运行,并将其从电脑中删除。
<B>专家提醒:
1、</B> 由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>
2、</B> 局域网要安装正版的企业版杀度软件,并进行合理配置,如果局域网内感染病毒,应合理部署,在杀毒过程中要全网同时进行,确保彻底清除。
<B>
3、</B> 因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
</P>
值得引起关注的是,黑客和木马程序的攻击目标也在发生变化,他们不再像以往满足于成功攻击知名网站而带来的"虚名",而更多的转向追求经济利益,随之而来的是互联网中此类案件的增多。
他们调转矛头,指向了金融证券、网络游戏、网上交易等涉及经济利益的领域。木马通常会以欺骗的方式进入用户系统,之后采用记录键盘信息的方式盗取用户帐号、密码等重要信息,并将其盗取的信息发送给指定的地址或邮箱,进行违法活动。另外,病毒制作者还会通过各种方式将窃取到的用户信息出售,以获取经济利益。
另外,通过OICQ、MSN等聊天软件传播的木马病毒的数量也有增无减。
<B>针对此类病毒,建议用户注意</B>:
<B>1、</B>不要随便登录不明网站,一些网站缺乏正规的管理和维护,很容易成为病毒传播的源头。
<B>2、</B>下载软件和应用程序,应选择正规的网站,并在确认无毒后再安装使用。
<B>3、</B>对于OICQ、MSN等聊天软件发送过来的链接和文件,不要随便点击和下载,应在确认真实可靠后再进行相应的操作。
<B>4、</B>在遭受了黑客或木马程序的入侵以后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除黑客的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。
通过对病毒传播情况的监测,近期传播广泛的仍以通过电子邮件传播的蠕虫病毒为主,数量较大的主要有"爱之门(Lovgate)"、"网络天空(Netsky)"和"贝革热"。还有微软已经发布了安全补丁MS04-040: 针对IE的安全升级,没有打补丁的计算机用户请及时给系统打补丁,以免受到利用此IE漏洞进行传播的病毒的侵害。
<B>本周发作:</B>
<B>病毒名称:</B>"杀手十三" (Worm_Killonce.A)
<B>病毒类型:</B>蠕虫病毒
<B>发作日期:</B>12月13日
<B>危害程度:</B>12月13日发作,发作后将删除C盘根目录下的所有文件,造成严重的破坏。
<B>病毒名称:</B>"求职信"(Worm_Klez.A)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>12月13日
<B>危害程度:</B>向外发送染毒邮件,破坏硬盘上的数据。终止反病毒软件的运行,并将其从电脑中删除。
<B>专家提醒:
1、</B> 由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>
2、</B> 局域网要安装正版的企业版杀度软件,并进行合理配置,如果局域网内感染病毒,应合理部署,在杀毒过程中要全网同时进行,确保彻底清除。
<B>
3、</B> 因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
</P>
<P>第十七期(2004.12.20- 2004.12.26)</P><P>国家计算机病毒应急处理中心通过对互联网的监测,发现病毒Worm_Zafi.d。该蠕虫通过邮件和网络共享进行传播,并将自己伪装
为圣诞节电子贺卡,发给用户。病毒还将自己伪装为新版的聊天工具
ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中,诱使用
户打开。用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻
痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。
<B>
病毒名称:</B>Worm_Zafi.D
<B>其他病毒名:</B>W32/Zafi.d@MM (McAfee)
W32.Erkez.D@mm(Symantec)
WORM_ZAFI.D(Trend Micro)
Worm.Zafi.d(金山)
I-Worm.Zafi.d(瑞星)
I-Worm/Zafi.d(江民)
<B>感染系统:</B>Windows 2000, Windows 98, Windows Me, Windows NT,
Windows XP
<B>病毒特征:</B>
<B>
1、生成病毒文件</B>
病毒运行后在%System%目录下生成Norton Update.exe和C:\s.cm。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me
中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、
在Windows XP中为C:\Windows\System32)
病毒还会将自己复制在%System%目录下,名为{随机字符}.dll 文件。
病毒还会试图在任何包含字符「shar」的文件夹中建立本身的副本,副本名
称为:winamp 5.7 new!.exe 、ICQ 2005a new!.exe。
<B>2、修改注册表项</B>
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\CurrentVersion\Run中添加值"Wxp4" = "%System%\Norton Update.exe"。这样可以在每次开机时自动运行,文件
名伪装为 Norton 的升级程序。
同时,病毒还会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4,把自身一些信息保存到注册表中的该键内。
<B>
3、通过电子邮件传播</B>
病毒电子邮件特征如下:
<B>主题:(为下列名称之一)</B>
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!
<B>
正文:(为以下之一)</B>
Happy HollyDays!
:) [Sender]
Kellemes Unnepeket!
:) [Sender]
Feliz Navidad!
:) [Sender]
:) [Sender]
Glaedelig Jul!
:) [Sender]
God Jul!
:) [Sender]
God Jul!
:) [Sender]
Iloista Joulua!
:) [Sender]
Naulieji Metai!
:) [Sender]
Wesolych Swiat!
:) [Sender]
Fröhliche Weihnachten!
:) [Sender]
Prettige Kerstdagen!
:) [Sender]
Veselé Vánoce!
:) [Sender]
Joyeux Noel!
:) [Sender]
Buon Natale!
:) [Sender]
<B>
附件:(包含以下扩展名之一的随机文档名)</B>
.bat
.cmd
.com
.pif
.zip
<B>
4、病毒运行</B>
当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒在运行的时候会显示如下消息框: </P><P>
为了避免轻易被检测或清除,该病毒会结束以下名称中包含如下字符串的进程:
msconfig
reged
task
<B>
5、后门功能</B>
该病毒还具有后门功能,它会打开TCP端口8181,允许远程用户对具有安全漏洞的系统上载文件。
<B>
手工清除病毒:</B>
<B>1、 结束病毒进程</B>
打开Windows任务管理器,在 Windows 95/98/ME 系统上, 按下
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统上, 按下CTRL+SHIFT+ESC, 并点击进程标签
在运行的程序列表中,找到下面的进程:NORTON UPDATE.EXE ,结束该进程,即可。
<B>
2、删除病毒文件 </B>
右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。 在名称输入框中,输入:Norton Update.exe和s.cm ,找到文件然后选择删除。
<B>
3、修改注册表</B>
打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,找到右侧面板中"Wxp4" = "%System%\Norton Update.exe",并将其删除。
依次双击左边的面板,双击并删除下面的项目
HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4
</P>
为圣诞节电子贺卡,发给用户。病毒还将自己伪装为新版的聊天工具
ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中,诱使用
户打开。用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻
痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。
<B>
病毒名称:</B>Worm_Zafi.D
<B>其他病毒名:</B>W32/Zafi.d@MM (McAfee)
W32.Erkez.D@mm(Symantec)
WORM_ZAFI.D(Trend Micro)
Worm.Zafi.d(金山)
I-Worm.Zafi.d(瑞星)
I-Worm/Zafi.d(江民)
<B>感染系统:</B>Windows 2000, Windows 98, Windows Me, Windows NT,
Windows XP
<B>病毒特征:</B>
<B>
1、生成病毒文件</B>
病毒运行后在%System%目录下生成Norton Update.exe和C:\s.cm。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me
中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、
在Windows XP中为C:\Windows\System32)
病毒还会将自己复制在%System%目录下,名为{随机字符}.dll 文件。
病毒还会试图在任何包含字符「shar」的文件夹中建立本身的副本,副本名
称为:winamp 5.7 new!.exe 、ICQ 2005a new!.exe。
<B>2、修改注册表项</B>
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\CurrentVersion\Run中添加值"Wxp4" = "%System%\Norton Update.exe"。这样可以在每次开机时自动运行,文件
名伪装为 Norton 的升级程序。
同时,病毒还会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4,把自身一些信息保存到注册表中的该键内。
<B>
3、通过电子邮件传播</B>
病毒电子邮件特征如下:
<B>主题:(为下列名称之一)</B>
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!
<B>
正文:(为以下之一)</B>
Happy HollyDays!
:) [Sender]
Kellemes Unnepeket!
:) [Sender]
Feliz Navidad!
:) [Sender]
:) [Sender]
Glaedelig Jul!
:) [Sender]
God Jul!
:) [Sender]
God Jul!
:) [Sender]
Iloista Joulua!
:) [Sender]
Naulieji Metai!
:) [Sender]
Wesolych Swiat!
:) [Sender]
Fröhliche Weihnachten!
:) [Sender]
Prettige Kerstdagen!
:) [Sender]
Veselé Vánoce!
:) [Sender]
Joyeux Noel!
:) [Sender]
Buon Natale!
:) [Sender]
<B>
附件:(包含以下扩展名之一的随机文档名)</B>
.bat
.cmd
.com
.pif
.zip
<B>
4、病毒运行</B>
当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒在运行的时候会显示如下消息框: </P><P>
为了避免轻易被检测或清除,该病毒会结束以下名称中包含如下字符串的进程:
msconfig
reged
task
<B>
5、后门功能</B>
该病毒还具有后门功能,它会打开TCP端口8181,允许远程用户对具有安全漏洞的系统上载文件。
<B>
手工清除病毒:</B>
<B>1、 结束病毒进程</B>
打开Windows任务管理器,在 Windows 95/98/ME 系统上, 按下
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统上, 按下CTRL+SHIFT+ESC, 并点击进程标签
在运行的程序列表中,找到下面的进程:NORTON UPDATE.EXE ,结束该进程,即可。
<B>
2、删除病毒文件 </B>
右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。 在名称输入框中,输入:Norton Update.exe和s.cm ,找到文件然后选择删除。
<B>
3、修改注册表</B>
打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,找到右侧面板中"Wxp4" = "%System%\Norton Update.exe",并将其删除。
依次双击左边的面板,双击并删除下面的项目
HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4
</P>
<P>第十八期(2004.12.27- 2005.1.2) </P><P>通过对病毒传播情况的监测,近期传播广泛的仍以通过电子邮件传播的蠕虫病毒为主,由于正逢是在圣诞节和元旦两个节日,人们会收到很多的节日贺卡和有关节日祝贺的电子邮件,这样使得邮件蠕虫病毒和一些垃圾邮件有可乘之机,会对计算机用户造成一定的危害,因此,为了避免受到病毒的侵害,建议用户在近一段时间里,注意做好对一些常见邮件病毒和垃圾邮件的防范工作,减少不必要的损失。
<B>本周发作:</B>
<B>病毒名称:</B>Worm_Surround.A
<B>病毒类型:</B>文件型病毒
<B>发作日期:</B>12月29日
<B>危害程度:</B>使“宏病毒防护”功能失效,在29日删除
win.com,并显示以下信息“You are now
surrounded(你现在被包围了)”、“Virus
Information(病毒信息)”。
<B>
病毒名称:</B>IRMJ
<B>病毒类型:</B>引导型病毒
<B>发作日期:</B>12月30日
<B>危害程度:</B>感染磁盘的引导扇区和硬盘的文件分区表,在12月
30日显示以下信息“December 30th (C) by
IR&MJ Compu Serve 1993”。
<B>病毒名称:</B>W97M_SEKE.A
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>12月31日
<B>危害程度:</B>使“宏病毒防护”功能失效,将应用程序的用户地
址更改为“SEKE- Chicklayo” ,并在12月31日显
示以下信息“To deseofeliz Ano Nuevo SEKE –
Chiclayo (Ano 2000) Nuevo Milenio ! SEKE
– Chiclayo ...” 。
<B>专家提醒:</B>
<B>
1、</B> 由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>2、</B> 平时养成定时备份的好习惯,重要的数据和文件最好进行异地备份,异地备份就是指将数据等资料备份到你的计算机之外的存储设备,比如软盘或USB移动硬盘或刻录成光盘。
<B>3、</B> 计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒大范围传播,造成更严重的危害。
</P>
<B>本周发作:</B>
<B>病毒名称:</B>Worm_Surround.A
<B>病毒类型:</B>文件型病毒
<B>发作日期:</B>12月29日
<B>危害程度:</B>使“宏病毒防护”功能失效,在29日删除
win.com,并显示以下信息“You are now
surrounded(你现在被包围了)”、“Virus
Information(病毒信息)”。
<B>
病毒名称:</B>IRMJ
<B>病毒类型:</B>引导型病毒
<B>发作日期:</B>12月30日
<B>危害程度:</B>感染磁盘的引导扇区和硬盘的文件分区表,在12月
30日显示以下信息“December 30th (C) by
IR&MJ Compu Serve 1993”。
<B>病毒名称:</B>W97M_SEKE.A
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>12月31日
<B>危害程度:</B>使“宏病毒防护”功能失效,将应用程序的用户地
址更改为“SEKE- Chicklayo” ,并在12月31日显
示以下信息“To deseofeliz Ano Nuevo SEKE –
Chiclayo (Ano 2000) Nuevo Milenio ! SEKE
– Chiclayo ...” 。
<B>专家提醒:</B>
<B>
1、</B> 由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>2、</B> 平时养成定时备份的好习惯,重要的数据和文件最好进行异地备份,异地备份就是指将数据等资料备份到你的计算机之外的存储设备,比如软盘或USB移动硬盘或刻录成光盘。
<B>3、</B> 计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒大范围传播,造成更严重的危害。
</P>
<P>第十九期(2005.1.3- 2005.1.9)</P><P>通过对病毒传播情况的监测,近期没有重大病毒出现。圣诞节已经过去,又正逢在元旦期间,在新年到来之际,人们会收到一些新年贺卡和有关新年祝贺的电子邮件,使得邮件蠕虫病毒和一些垃圾邮件继圣诞节之后,又有了可乘之机,继续对计算机用户造成危害,因此,为了避免受到病毒的侵害,建议用户做好对一些常见邮件病毒和垃圾邮件的防范工作,减少不必要的损失。
<B>本周发作:</B>
<B>病毒名称:</B>“求职信”(Worm_Klez.E)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>1月6日
<B>危害程度:</B>病毒向外发送带毒邮件,病毒发作后会感染电脑中的.doc(Word文档)和.xls(Excel文档),且遭受感染文档和数据都将无法恢复。同时终止反病毒软件的运行,并将其从电脑中删除。
<B>病毒名称:</B>WM_Italian.A
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>1月7日
<B>危害程度:</B>在7日,当用户打开Word文档时,显示一下信息“Your PC is infected by
WORD_Macro.ITALIAN Virus(你的计算机被病毒WORD_Macro.ITALIAN感染了)” 。
<B>专家提醒:</B>
<B>1、</B> 由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>2、</B> 在对系统进行杀毒之前,先备份重要的数据文件。即使这些文件已经带毒,万一杀毒失败后还有机会将计算机恢复原貌,然后再使用杀毒软件对数据文件进行修复。
</P>
<B>本周发作:</B>
<B>病毒名称:</B>“求职信”(Worm_Klez.E)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>1月6日
<B>危害程度:</B>病毒向外发送带毒邮件,病毒发作后会感染电脑中的.doc(Word文档)和.xls(Excel文档),且遭受感染文档和数据都将无法恢复。同时终止反病毒软件的运行,并将其从电脑中删除。
<B>病毒名称:</B>WM_Italian.A
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>1月7日
<B>危害程度:</B>在7日,当用户打开Word文档时,显示一下信息“Your PC is infected by
WORD_Macro.ITALIAN Virus(你的计算机被病毒WORD_Macro.ITALIAN感染了)” 。
<B>专家提醒:</B>
<B>1、</B> 由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>2、</B> 在对系统进行杀毒之前,先备份重要的数据文件。即使这些文件已经带毒,万一杀毒失败后还有机会将计算机恢复原貌,然后再使用杀毒软件对数据文件进行修复。
</P>
<P>第二十期(2005.1.10- 2005.1.16)</P><P>通过对病毒传播情况的监测,近期没有重大病毒出现。正值刚刚进入2005年新年,在朋友间互致问候的同时,还是要谨慎电子邮件和可疑附件,因为很多病毒都在利用这一时机进行传播,病毒的主要传播途径还是电子邮件和聊天软件,而且现在很多病毒的来源也就是发信人就是熟悉的邮件地址,与以往相比,迷惑性和欺骗性更强,因此即时是同事或朋友发送来的邮件也不能大意,同样要确认无毒后才能打开。
另外,很多用户使用的操作系统的漏洞也没有都认真修补,很多病毒都是利用操作系统和应用软件的漏洞进行传播和感染的,所以说这些工作也都是非常必要的。还要提醒用户的是,平时应当注意了解流行病毒的基本特征,升级杀毒软件,做好病毒防治的基本工作。
<B>本周发作:</B>
<B>病毒名称:</B>“欢乐时光”(VBS_Happytime)
<B>病毒类型:</B>脚本类病毒
<B>发作日期:</B>1月12日
<B>危害程度:</B>病毒向外发送带毒邮件,并在该日删除硬盘中的.exe和.dll文件。
<B>病毒名称:</B>“求职信”变种(Worm_Klez.C)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>1月13日
<B>危害程度:</B>病毒向外发送带毒邮件,终止反病毒软件的运行,并在13日用垃圾数据覆盖电脑中的有效数据。
<B>病毒名称:</B>W97M_Class.EM
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>1月14日
<B>危害程度:</B>感染Word的通用模板文件normal.dot,并通过mIRC在互联网上进行传播,14日病毒会弹出对话框“I think <用户名>is a big stupid jerk.”
<B>专家提醒:</B>
<B>
1、</B> 由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>
2、</B> 在对系统进行杀毒之前,先备份重要的数据文件。即使这些文件已经带毒,万一杀毒失败后还有机会将计算机恢复原貌,然后再使用杀毒软件对数据文件进行修复。
</P>
另外,很多用户使用的操作系统的漏洞也没有都认真修补,很多病毒都是利用操作系统和应用软件的漏洞进行传播和感染的,所以说这些工作也都是非常必要的。还要提醒用户的是,平时应当注意了解流行病毒的基本特征,升级杀毒软件,做好病毒防治的基本工作。
<B>本周发作:</B>
<B>病毒名称:</B>“欢乐时光”(VBS_Happytime)
<B>病毒类型:</B>脚本类病毒
<B>发作日期:</B>1月12日
<B>危害程度:</B>病毒向外发送带毒邮件,并在该日删除硬盘中的.exe和.dll文件。
<B>病毒名称:</B>“求职信”变种(Worm_Klez.C)
<B>病毒类型:</B>电子邮件蠕虫病毒
<B>发作日期:</B>1月13日
<B>危害程度:</B>病毒向外发送带毒邮件,终止反病毒软件的运行,并在13日用垃圾数据覆盖电脑中的有效数据。
<B>病毒名称:</B>W97M_Class.EM
<B>病毒类型:</B>宏病毒
<B>发作日期:</B>1月14日
<B>危害程度:</B>感染Word的通用模板文件normal.dot,并通过mIRC在互联网上进行传播,14日病毒会弹出对话框“I think <用户名>is a big stupid jerk.”
<B>专家提醒:</B>
<B>
1、</B> 由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>
2、</B> 在对系统进行杀毒之前,先备份重要的数据文件。即使这些文件已经带毒,万一杀毒失败后还有机会将计算机恢复原貌,然后再使用杀毒软件对数据文件进行修复。
</P>
<P>第二十一期(2005.1.17- 2005.1.23)</P><P>近两年,很多病毒都融入了bot程序功能BOT就是ROBOT(机器人)的缩写,是一组用来自动管理IRC(Internet在线聊天软件)聊天室、辅助进行聊天的工具,是一个可以像机器人一样远程控制的程序。它被恶意用户用,成为病毒传播的又一手段。近两年间,bot 遥控程序持续增长,它通常会作为后门程序的组件之一,恶意用户可通过其远程获取系统控制权,并窃取用户信息。同时,bot 也会入侵已知的漏洞,攻击者只要向bot 遥控程序发送指令,被控制的机器就会在网络中不停的为攻击者寻找存在漏洞的目标系统,并将自身复制其中,不断扩大其可操控的范围。攻击者同样可以利用这些受控机器对某一特定目标发动攻击,如DDoS (拒绝式服务)攻击。目前很多病毒程序具有bot程序的功能,被此类病毒感染的系统可以被恶意用户操控,因此使得蠕虫具有了可控性,成为进行网络攻击和破坏的工具和手段。较为典型的有"高波"(Agobot)、Sdbot等。
值得提到的是微软公布了今年最新的三个安全漏洞补丁,其中两个针对Windows操作系统,另外一个针对IE浏览器。其中一个漏洞补丁的等级为重要,另外两个的等级为严重。
1、MS05-001:HTML 帮助中的漏洞可能允许执行代码 (890175) (等级:严重)
该漏洞的补丁主要解决Windows中HTML Help ActiveX控件的安全问题。攻击者可以利用这一漏洞完全控制被害人的电脑系统。
<B>具体安全公告下载地址:</B>
http://www.microsoft.com/china/technet/security/bulletin/MS05-001.mspx
2、MS05-002:光标和图标格式处理中的漏洞可能允许远程执行代码 (891711)(等级:严重)
该漏洞补丁解决Windows NT至Windows XP系统中存在的指针与图标的格式处理问题,通过包含恶意软件的网页,攻击者可能利用这一漏洞。
<B>具体安全公告下载地址:</B>
http://www.microsoft.com/china/technet/security/bulletin/MS05-002.mspx
3、MS05-003:索引服务中的漏洞可能允许远程执行代码 (871250) (等级:重要)
该漏洞补丁是针对Windows的索引服务,在系统当中,索引服务是被默认关闭的,攻
击者很难利用这一途径访问索引内容,因此它的威胁等级是重要,而不是严重。
<B>
具体安全公告下载地址:</B>
http://www.microsoft.com/china/technet/security/bulletin/MS05-003.mspx
<B>
本周发作:</B>
<B>病毒名称:</B>Form.A
<B>病毒类型:</B>引导型病毒
<B>发作日期:</B>1月18日
<B>危害程度:</B>病毒感染硬盘的分区表和软盘的主引导扇区,在18日,用户敲
击被感染计算机的键盘时,会发出"嘀嘀"的声音。<B>
专家提醒:</B>
<B>1、</B>建议用户立即针对自己计算机安装的操作系统,找到相应的安全漏洞补丁,下载并安装。遏制利用这些漏洞进行传播的病毒,减少病毒给计算机用户带来的危害。
<B>2、</B>由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
</P>
值得提到的是微软公布了今年最新的三个安全漏洞补丁,其中两个针对Windows操作系统,另外一个针对IE浏览器。其中一个漏洞补丁的等级为重要,另外两个的等级为严重。
1、MS05-001:HTML 帮助中的漏洞可能允许执行代码 (890175) (等级:严重)
该漏洞的补丁主要解决Windows中HTML Help ActiveX控件的安全问题。攻击者可以利用这一漏洞完全控制被害人的电脑系统。
<B>具体安全公告下载地址:</B>
http://www.microsoft.com/china/technet/security/bulletin/MS05-001.mspx
2、MS05-002:光标和图标格式处理中的漏洞可能允许远程执行代码 (891711)(等级:严重)
该漏洞补丁解决Windows NT至Windows XP系统中存在的指针与图标的格式处理问题,通过包含恶意软件的网页,攻击者可能利用这一漏洞。
<B>具体安全公告下载地址:</B>
http://www.microsoft.com/china/technet/security/bulletin/MS05-002.mspx
3、MS05-003:索引服务中的漏洞可能允许远程执行代码 (871250) (等级:重要)
该漏洞补丁是针对Windows的索引服务,在系统当中,索引服务是被默认关闭的,攻
击者很难利用这一途径访问索引内容,因此它的威胁等级是重要,而不是严重。
<B>
具体安全公告下载地址:</B>
http://www.microsoft.com/china/technet/security/bulletin/MS05-003.mspx
<B>
本周发作:</B>
<B>病毒名称:</B>Form.A
<B>病毒类型:</B>引导型病毒
<B>发作日期:</B>1月18日
<B>危害程度:</B>病毒感染硬盘的分区表和软盘的主引导扇区,在18日,用户敲
击被感染计算机的键盘时,会发出"嘀嘀"的声音。<B>
专家提醒:</B>
<B>1、</B>建议用户立即针对自己计算机安装的操作系统,找到相应的安全漏洞补丁,下载并安装。遏制利用这些漏洞进行传播的病毒,减少病毒给计算机用户带来的危害。
<B>2、</B>由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
</P>
<P>第二十二期(2005.1.24- 2005.1.30)</P><P>国家计算机病毒应急处理中心通过对计算机病毒情况的传播情况的监测汇总2004年,蠕虫在2004年仍占有重要的位置。蠕虫由于其主动传播的特性,往往传播时间较长、形成危害较大,并且现在的蠕虫病毒多融入了黑客、木马等功能,还会还会阻止安全软件的运行,使得病毒的功能性更加强大。
通过电子邮件传播的蠕虫,虽然在原理和传播方法上没有什么新意,但仍然危害不小,此类病毒发作和传播所形成的危害往往是可见的,通常会造成系统运行速度的减慢、网络运行受到影响等。由于很多病毒运用了社会工程学,发信人的地址也许是熟识的,邮件的内容带有欺骗性、诱惑性,意识不强的用户往往会轻信而运行邮件的带毒附件并形成感染。部分蠕虫的病毒邮件还能利用IE漏洞,可使用户在没有打开附件的情况下感染病毒。
本年度此类病毒的典型代表就是"网络天空"(Netsky)"贝革热(Bbeagle)"、Mydoom。这几个病毒从年初出现,不断有变种相继推出,并且病毒之间相互竞争系统资源,形成了较大的影响和危害。另外,"爱之门"(Lovgate)病毒也仍然在网络中大量存在。
通过漏洞传播的蠕虫,往往会在爆发初期形成较为严重的危害,大量的攻击和网络探测,会严重影响网络的运行速度甚至造成网络瘫痪。同时,被感染的计算机会出现反复重启、系统速度减慢、部分功能无法使用等现象。去年5月出现的"震荡波" (Sasser)就是典型的例子。"高波"(Agobot)病毒是通过RPC DCOM缓冲溢出漏洞进行传播,也就是"冲击波"所利用的漏洞,该蠕虫在出现后的一年多时间里不断有新变种的出现,导致其在全球网络中感染率一直居高不下。
<B> 针对蠕虫,建议用户采取以下措施:</B>
<B>1、</B>通过电子邮件传播的病毒特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>2、</B>局域网要安装正版的企业版杀毒软件,并进行合理配置,如果局域网内感染病毒,应合理部署,在杀毒过程中要全网同时进行,确保彻底清除。
<B>3、</B>系统管理员要为其它用户合理设置权限,在可能的情况下,将用户的权限设置为最低,这样,在某一个用户的出现病毒感染的时候,对整个网络的影响也会相对降低。
<B>
4、</B>取消局域网内一切不必要的共享,共享的部分要设置复杂的密码,最大程度的降低被病毒程序和黑客木马程序破译的可能性,同时减少病毒传播的途径,提高系统的安全性。
安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
<B>专家提醒:</B>
<B>1、</B>建议用户立即针对自己计算机安装的操作系统,找到相应的安全漏洞补丁,下载并安装。遏制利用这些漏洞进行传播的病毒,减少病毒给计算机用户带来的危害。
<B>2、</B>由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>3、</B>提醒广大计算机用户升级杀毒软件,启动"实时监控"和"个人防火墙",做好预防工作。下面对该病毒进行介绍。希望引起用户注意,不要随便登录不明网站,同时对OICQ中好友发送过来的消息要谨慎处理。
</P>
通过电子邮件传播的蠕虫,虽然在原理和传播方法上没有什么新意,但仍然危害不小,此类病毒发作和传播所形成的危害往往是可见的,通常会造成系统运行速度的减慢、网络运行受到影响等。由于很多病毒运用了社会工程学,发信人的地址也许是熟识的,邮件的内容带有欺骗性、诱惑性,意识不强的用户往往会轻信而运行邮件的带毒附件并形成感染。部分蠕虫的病毒邮件还能利用IE漏洞,可使用户在没有打开附件的情况下感染病毒。
本年度此类病毒的典型代表就是"网络天空"(Netsky)"贝革热(Bbeagle)"、Mydoom。这几个病毒从年初出现,不断有变种相继推出,并且病毒之间相互竞争系统资源,形成了较大的影响和危害。另外,"爱之门"(Lovgate)病毒也仍然在网络中大量存在。
通过漏洞传播的蠕虫,往往会在爆发初期形成较为严重的危害,大量的攻击和网络探测,会严重影响网络的运行速度甚至造成网络瘫痪。同时,被感染的计算机会出现反复重启、系统速度减慢、部分功能无法使用等现象。去年5月出现的"震荡波" (Sasser)就是典型的例子。"高波"(Agobot)病毒是通过RPC DCOM缓冲溢出漏洞进行传播,也就是"冲击波"所利用的漏洞,该蠕虫在出现后的一年多时间里不断有新变种的出现,导致其在全球网络中感染率一直居高不下。
<B> 针对蠕虫,建议用户采取以下措施:</B>
<B>1、</B>通过电子邮件传播的病毒特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>2、</B>局域网要安装正版的企业版杀毒软件,并进行合理配置,如果局域网内感染病毒,应合理部署,在杀毒过程中要全网同时进行,确保彻底清除。
<B>3、</B>系统管理员要为其它用户合理设置权限,在可能的情况下,将用户的权限设置为最低,这样,在某一个用户的出现病毒感染的时候,对整个网络的影响也会相对降低。
<B>
4、</B>取消局域网内一切不必要的共享,共享的部分要设置复杂的密码,最大程度的降低被病毒程序和黑客木马程序破译的可能性,同时减少病毒传播的途径,提高系统的安全性。
安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
<B>专家提醒:</B>
<B>1、</B>建议用户立即针对自己计算机安装的操作系统,找到相应的安全漏洞补丁,下载并安装。遏制利用这些漏洞进行传播的病毒,减少病毒给计算机用户带来的危害。
<B>2、</B>由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
<B>3、</B>提醒广大计算机用户升级杀毒软件,启动"实时监控"和"个人防火墙",做好预防工作。下面对该病毒进行介绍。希望引起用户注意,不要随便登录不明网站,同时对OICQ中好友发送过来的消息要谨慎处理。
</P>
<P>第二十三期(2005.1.31- 2005.2.6)</P><P>国家计算机病毒应急处理中心通过对互联网的监测,发现BAGLE出现又一变种。该变种通过邮件和网络进行传播,病毒驻留内存,打开后门,修改注册表,在系统目录下创建文件,还可以自动关闭杀毒软件的进程, 删除掉与WORM_NETSKY变种相关的内容。
国家计算机病毒应急处理中心提醒广大用户,留意该蠕虫的特征,遇到此类邮件立即删除,不要打开运行。
<B>病毒名称:</B>WORM_BAGLE.AZ
<B>其它英文命名:</B>Win32.Bagle.AU(Computer Associates),
Email-Worm.Win32.Bagle.ay(Kaspersky Lab),
W32/Bagle.bk@MM(McAfee),
WORM_BAGLE.AZ(Trend Micro),
W32.Beagle.AY@mm(Symantec)
<B>感染系统:</B>Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows XP
<B>病毒长度:</B>19,000字节
<B>病毒特征:</B>
该变种通过邮件和网络进行传播,病毒驻留内存,打开后门,修改注册表,在系统目录下创建文件。
<B>
1、生成病毒文件</B>
在%Windows%目录下生成sysformat.exe、
sysformat.exeopen、 sysformat.exeopenopen。(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT)
<B>
2、修改注册表项</B>
病毒创建注册表项,使得自身能够在系统启动时自动运行,病毒会添加如下注册选项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
sysformat = "%System%\sysformat.exe"
病毒还会创建如下注册选项:
HKEY_CURRENT_USER\Software\Microsoft\Params
riga = "<随机十六进制数值>"
<B>
3、通过电子邮件传播</B>
该病毒利用自带的SMTP引擎发送带毒邮件。病毒会从被感染计算机收集邮件地址,并将自身作为附件向外发送带毒电子邮件。病毒邮件使用虚假的发件人地址,使之看上去像是从熟悉的地址发来的,用以迷惑用户,同时会跳过含有特定字符串的邮件地址。
<B>
病毒所发送的电子邮件有特征如下:</B>
<B>
主题: (其中之一) </B>
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help
<B>
正文: (其中之一) </B>
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help
<B>
附件: (其中之一) </B>
guupd02.exe
Jol03.exe
siupd02.exe
upd02.exe
viupd02.exe
wsd01.exe
zupd02.exe
<B>
使用如下扩展名:</B>
COM
CPL
EXE
SCR
<B>4、通过网络共享传播</B>
病毒会在网络中搜索名称中带有"shar"字符串的共享文件夹,找到后会在其中生成如下自身拷贝:
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
<B>专家提醒:</B>
1、很多病毒发作后,会破坏一些系统文件,导致在Window环境下无法杀毒,所以制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,只能使用软盘启动,如果提前制作了应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。
2、计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
3、提醒广大计算机用户升级杀毒软件,启动“实时监控”和“个人防火墙,做好预防工作。
</P>
国家计算机病毒应急处理中心提醒广大用户,留意该蠕虫的特征,遇到此类邮件立即删除,不要打开运行。
<B>病毒名称:</B>WORM_BAGLE.AZ
<B>其它英文命名:</B>Win32.Bagle.AU(Computer Associates),
Email-Worm.Win32.Bagle.ay(Kaspersky Lab),
W32/Bagle.bk@MM(McAfee),
WORM_BAGLE.AZ(Trend Micro),
W32.Beagle.AY@mm(Symantec)
<B>感染系统:</B>Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows XP
<B>病毒长度:</B>19,000字节
<B>病毒特征:</B>
该变种通过邮件和网络进行传播,病毒驻留内存,打开后门,修改注册表,在系统目录下创建文件。
<B>
1、生成病毒文件</B>
在%Windows%目录下生成sysformat.exe、
sysformat.exeopen、 sysformat.exeopenopen。(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT)
<B>
2、修改注册表项</B>
病毒创建注册表项,使得自身能够在系统启动时自动运行,病毒会添加如下注册选项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
sysformat = "%System%\sysformat.exe"
病毒还会创建如下注册选项:
HKEY_CURRENT_USER\Software\Microsoft\Params
riga = "<随机十六进制数值>"
<B>
3、通过电子邮件传播</B>
该病毒利用自带的SMTP引擎发送带毒邮件。病毒会从被感染计算机收集邮件地址,并将自身作为附件向外发送带毒电子邮件。病毒邮件使用虚假的发件人地址,使之看上去像是从熟悉的地址发来的,用以迷惑用户,同时会跳过含有特定字符串的邮件地址。
<B>
病毒所发送的电子邮件有特征如下:</B>
<B>
主题: (其中之一) </B>
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help
<B>
正文: (其中之一) </B>
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help
<B>
附件: (其中之一) </B>
guupd02.exe
Jol03.exe
siupd02.exe
upd02.exe
viupd02.exe
wsd01.exe
zupd02.exe
<B>
使用如下扩展名:</B>
COM
CPL
EXE
SCR
<B>4、通过网络共享传播</B>
病毒会在网络中搜索名称中带有"shar"字符串的共享文件夹,找到后会在其中生成如下自身拷贝:
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
<B>专家提醒:</B>
1、很多病毒发作后,会破坏一些系统文件,导致在Window环境下无法杀毒,所以制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,只能使用软盘启动,如果提前制作了应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。
2、计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
3、提醒广大计算机用户升级杀毒软件,启动“实时监控”和“个人防火墙,做好预防工作。
</P>
<P>第二十四期(2005.2.7- 2005.2.13)</P><P>国家计算机病毒应急处理中心通过对互联网的监测,发现了通过MSN进行传播的一种蠕虫病毒“MSN肉鸡”(Worm_Bropia.F) ,应急中心对该病毒进行了分析处理发现,蠕虫运行后,会在系统目录下释放自身的副本和一个IRCBot程序,该程序是“高波”病毒的一个已知变种。
截止到2005年2月4日11时,应急中心汇总统计“MSN肉鸡”的传播情况,感染的计算机数量超过1万台,其中接到的电话和邮件,企业数量约占到30%,个人用户约70%。地区涉及北京、天津、上海、广东、福建、陕西等多个地区,总体来讲,大城市和南方的数量略高,这与MSN用户群的分布有直接的关系。
该蠕虫仍然运用了社会工程学,迷惑用户下载运行图片感染病毒,尤其对于一些企业,公司内部使用MSN进行交流和通讯,彼此间已建立了一定的信任,所以很容易中招。因此在发作初期还是形成了一定范围的影响。
但由于该病毒的传播途径单一,病毒应急响应体系成员积极配合,响应及时,有效对该蠕虫进行了处理、发布和产品的升级,感染数量有大幅度的回落,该蠕虫的传播已经基本上得到控制。
用户要了解该病毒的主要特征,避免病毒的感染和进一步的传播,做好防范措施。
蠕虫详细信息如下:
<B>病毒名称:</B>“MSN肉鸡”(Worm_Bropia.F)
<B>其它命名:</B>Worm/MSN.DropBot.b(江民)
Worm.MSNLoveMe.b188928(金山)
worm.msn.chicken(瑞星)
WORM_BROPIA.F(趋势)
Win32/Bropia.worm.188928(安博士)
W32.Bropia.J(Symantec)
<B>病毒类型:</B>蠕虫
<B>病毒大小:</B>188,928字节
<B>受影响系统:</B>Win9x/WinMe/WinNT/Win2000/WinXP
<B>病毒特性:
</B>该蠕虫主要通过MSN进行传播,病毒会自动获取被感染的MSN中的联系人,并将自身发送给他们,MSN联系人会收到一幅图片,点击它就会显示一幅烤鸡的图片,同时感染系统。蠕虫运行后,会在系统目录下释放自身的副本和一个IRCBot程序,该程序是“高波”病毒的一个已知变种。感染该变种后,机器就有可能会被恶意用户控制,恶意用户可以通过IRC服务器操纵被感染的系统,并对文件、进程等执行操作,也可以向指定的目标发动攻击等操作。从而形成进一步的危害。
<B>1、生成文件</B>
蠕虫运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝,分别为:
msnus.exe
winhost.exe (其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
蠕虫在C盘根目录下生成sexy.jpg,并在Web窗口显示一个烤鸡的图片。
蠕虫在C盘根目录下生成多个自身的拷贝,名称可能为LOL.scr、Webcam.pif、bedroom-thongs.pif、naked_drunk.pif、LMAO.pif、ROFL.pif、underware.pif、Hot.pif、new_webcam.pif。
<B>
2、修改注册表项</B>
病毒添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run下添加
win32="winhost.exe";
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunServices下添加win32="winhost.exe"
HKEY_CURRENT_USER\Software\Microsoft\OLE下添加
win32="winhost.exe"
<B>3、通过MSN传播</B>
蠕虫会利用被感染机器里的MSN,向该用户的MSN联系人发送自身的副本,形成进一步的传播和扩散。
<B>
专家提醒:</B>
<B>1、</B>对于使用OICQ、MSN等的用户,对于发送过来的链接和文件,不要随便点击和下载,应在确认真实可靠后再进行相应的操作。一旦遭受感染,被感染机器应断开网络再进行相应处理,避免进一步的传播和扩散。
<B>
2、</B> 现在,很多网络病毒就通过猜测简单密码的方式对系统进行攻击,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全系数。
</P>
截止到2005年2月4日11时,应急中心汇总统计“MSN肉鸡”的传播情况,感染的计算机数量超过1万台,其中接到的电话和邮件,企业数量约占到30%,个人用户约70%。地区涉及北京、天津、上海、广东、福建、陕西等多个地区,总体来讲,大城市和南方的数量略高,这与MSN用户群的分布有直接的关系。
该蠕虫仍然运用了社会工程学,迷惑用户下载运行图片感染病毒,尤其对于一些企业,公司内部使用MSN进行交流和通讯,彼此间已建立了一定的信任,所以很容易中招。因此在发作初期还是形成了一定范围的影响。
但由于该病毒的传播途径单一,病毒应急响应体系成员积极配合,响应及时,有效对该蠕虫进行了处理、发布和产品的升级,感染数量有大幅度的回落,该蠕虫的传播已经基本上得到控制。
用户要了解该病毒的主要特征,避免病毒的感染和进一步的传播,做好防范措施。
蠕虫详细信息如下:
<B>病毒名称:</B>“MSN肉鸡”(Worm_Bropia.F)
<B>其它命名:</B>Worm/MSN.DropBot.b(江民)
Worm.MSNLoveMe.b188928(金山)
worm.msn.chicken(瑞星)
WORM_BROPIA.F(趋势)
Win32/Bropia.worm.188928(安博士)
W32.Bropia.J(Symantec)
<B>病毒类型:</B>蠕虫
<B>病毒大小:</B>188,928字节
<B>受影响系统:</B>Win9x/WinMe/WinNT/Win2000/WinXP
<B>病毒特性:
</B>该蠕虫主要通过MSN进行传播,病毒会自动获取被感染的MSN中的联系人,并将自身发送给他们,MSN联系人会收到一幅图片,点击它就会显示一幅烤鸡的图片,同时感染系统。蠕虫运行后,会在系统目录下释放自身的副本和一个IRCBot程序,该程序是“高波”病毒的一个已知变种。感染该变种后,机器就有可能会被恶意用户控制,恶意用户可以通过IRC服务器操纵被感染的系统,并对文件、进程等执行操作,也可以向指定的目标发动攻击等操作。从而形成进一步的危害。
<B>1、生成文件</B>
蠕虫运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝,分别为:
msnus.exe
winhost.exe (其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
蠕虫在C盘根目录下生成sexy.jpg,并在Web窗口显示一个烤鸡的图片。
蠕虫在C盘根目录下生成多个自身的拷贝,名称可能为LOL.scr、Webcam.pif、bedroom-thongs.pif、naked_drunk.pif、LMAO.pif、ROFL.pif、underware.pif、Hot.pif、new_webcam.pif。
<B>
2、修改注册表项</B>
病毒添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run下添加
win32="winhost.exe";
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunServices下添加win32="winhost.exe"
HKEY_CURRENT_USER\Software\Microsoft\OLE下添加
win32="winhost.exe"
<B>3、通过MSN传播</B>
蠕虫会利用被感染机器里的MSN,向该用户的MSN联系人发送自身的副本,形成进一步的传播和扩散。
<B>
专家提醒:</B>
<B>1、</B>对于使用OICQ、MSN等的用户,对于发送过来的链接和文件,不要随便点击和下载,应在确认真实可靠后再进行相应的操作。一旦遭受感染,被感染机器应断开网络再进行相应处理,避免进一步的传播和扩散。
<B>
2、</B> 现在,很多网络病毒就通过猜测简单密码的方式对系统进行攻击,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全系数。
</P>