病毒预警一周播报 (2004.02.02－2004.02.08)

广告  





本周热门病毒：

武汉男生变种F（Trojan.LMir.WhBoy.f）：警惕程度★★★★，木马病毒，通过网络传播。终止天网防火墙个人版、企业版、QQ病毒专杀工具等反病毒软件，搜索网络游戏“传奇”的客户端，从中取得密码发送给特定的邮箱，利用QQ发送带毒网址传播给好友。



本周发作病毒：

①   反恐精英（Trojan.Win32.VB.fd）：警惕程度★★★，木马病毒，通过网络传播。用VB语言编写，采用流行游戏“反恐精英”主程序的图标。每隔一段时间就会发作，将整个屏幕覆盖，像CS初始界面那样渐变出来，发作时用户无法做任何其它操作。



②   卡罗传真A(Backdoor.Carufax.a)：警惕程度★★★，后门程序，通过网络传播。释放其自带的动态库文件kbdext32.dll用于截取键盘输入的信息。开放并监听两个TCP端口，窃取用户信息并将这些信息以邮件的形式发送到其指定的邮箱内。

本周重点关注病毒：
　　恶性蠕虫：小邮差变种“诺维格”（Worm.Novarg.a、Mydoom）★★★★
　　感染系统：Win9x/WinMe/Win2000/WinXP/Win2003

　　邮件恶性蠕虫，大量发送垃圾邮件，造成邮件服务器性能下降或瘫痪，阻塞网络，影响正常的网络工作环境。该蠕虫还会在受感染的系统内留下危险级极高的后门，可让黑客远程登录受感染的系统，以及对网站发起恶意的DoS攻击。以下是该病毒的技术特点：


病毒信息：
病毒名称：Worm.Novarg.a
中文名称：诺维格
威胁级别：4A
病毒别名：“SCO炸弹” [瑞星]
　　　　　 “挪威客” [江民]
　　　　　　W32/Mydoom@MM [McAfee]
　　　　　　WORM_MIMAIL.R 　[Trend]
　　　　　　W32.Novarg.A@mm 　[Symantec]
受影响系统：Win9x/NT/2K/XP/2003

技术特征：
1、创建如下文件：
%System%shimgapi.dll
%temp%Message， 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。
（注：%system%为系统目录，对于Win9x系统，目录为windowssystem。对于NT及以上系统为Winntsystem32或Windowssystem32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；

3、添加如下注册表项：
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
TaskMon = %System%taskmon.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
TaskMon = %System%taskmon.exe
使病毒可随机启动；
添加如下注册表项：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
用于存储病毒的活动信息。

4、对www.sco.com实施拒绝服务（DoS）攻击；

5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；采用“系统退信”的方法传播病毒邮件；

7、拷贝自己到KaZaA的共享目录下，伪装成如下文件，后缀可能为(pifscrbat)，欺骗其它KaZaA用户下载，达到传播的目的：
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

解决方案：
　　http://www.duba.net/c/2004/01/28/106500.shtml


　　黑客病毒：“摩拉特”（Win32.Hack.Monator）★★
　　受影响系统: Win9x/Win2000/WinXP/Win2003

　　“摩拉特”（Win32.Hack.Monator），后门程序，当黑客连接受感染系统后，会取得系统的控制权，还会窃取用户的私人信息，并将其提交给黑客，对用户造成严重损失。以下是该病毒的详情：

　　A.病毒运行后，会打开8811号端口，并等待黑客连接。

　　B.当黑客通过该端口连接到受感染系统后，将取得对系统控制权，可以远程执行指令、删除文件、探测系统中各类密码，以及对该后门程序进行配置。

　　C.病毒将窃取系统中的AIM软件的用户信息，包括用户登录名和密码。

　　解决方案：
　　A.通过杀毒软件全盘扫描，清除该病毒。
　　B.防范措施:
　　安装网络防火墙——金山网镖，防止不明程序访问网络。
　　了解Windows系统网络相关知识，识别哪些端口是由系统程序所开放的，从而进一步检查出系统中的可疑端口及其可疑进程。
　　为IE打上最新的补丁，不要轻易执行功能不明的程序。


专家提醒：

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（www.duba.net）上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
　　duba.net 现已推出“在线病毒日历”，及时为您播报近期危险病毒，敬请关注；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。


（以上来自瑞星跟金山网站）



本文引用自ＰＣ５１.ＮＥＴ

上一篇：教会你CMOS基本设置

下一篇：关于超频的~

昵称 (必填)

验证码 (必填)