病毒预警一周播报 (2004.01.12－2004.01.18)

  一周热门病毒：

  莫国防I（Win32.MGF.4408）：警惕程度★★★☆，系统病毒，通过网络和文件传播。莫国防病毒的最新变种。修改用户桌面上的所有快捷方式的源代码，一旦发作，用户双击桌面任何一个快捷方式都会弹出病毒制造者编写的羞辱盖茨的信息框。病毒会在系统中开启一个具有最高权限的后门，给系统造成严重的安全威胁。此病毒很难被完全清除。

  一周发作病毒：

  ①少女心事（Trojan.PSW.Legend.Flash）：警惕程度★★★☆，木马病毒，通过网络传播。伪装成微软播放器可以播放的电影文件，欺骗用户下载。它主要窃取传奇、边锋等网络游戏的密码，发送到特定的邮箱。

  ②JITUX蠕虫（Worm.Jitux）：警惕程度★★★☆，蠕虫病毒，通过MSN传播。给MSN在线好友发送带毒网址，一旦点击该网址即刻中毒。

本周重点关注病毒：
　　一、P2P蠕虫：“斯特罗”（Worm.P2P.Sytro）★★★

　　 该病毒通过点对点工具KaZaA，Morpheus的文件共享功能进行四处传播。病毒进入系统后会搜索系统中是否安装以上提及的点对点工具，如果安装，病毒将在系统成生大量的病毒复本，然后修改点对点工具的设置，将这些复本共享出去。这些复本的名字多伪装成工具软件的名字，诱骗其它用户下载。因在点对点工具开启的时候，有可能会被多个人同时下载，从而会大量浪费系统和网络资源。以下是病毒的技术特点：


A、 添加以下注册表项：
HKEY_LOCAL_MACHINESoftwarePositron4
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"SysConfig="C:%windir%syscfg35""
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"execfg4="C:%Windir%execfg4.exe""

B、 在Windows文件夹%WinDir%下生成文件夹：SysConfig，并将其自己拷贝在该文件夹下。文件名为其自带的一个列表中的随机一个文件名，如：
Star Wars Episode 2 - Attack Of The Clones Full Downloader.exe
Sony Play station boot disc - Downloader.exe
ScaryMovie 2 Full Downloader.exe
How To Hack Websites.exe
AIM Account Stealer Downloader.exe
MSN Password Hacker and Stealer.exe
ZoneAlarm Firewall Full Downloader.exe
KaZaA media desktop v2.0 UNOFFICIAL.exe

C、 它将会显示出伪装对话框，如图：



D、 该病毒伪装成游戏，电影或软件来期骗KaZaA或Morpheus用户下载并运行它，从而感染系统；该病毒会随机的增加其拷贝文件的长度；如果它发现KaZaA已被安装，则将在注册表项HKEY_CURRENT_USERSoftwareKazaaLocalContent中添加：Dir 012345:C:%Windir%SysConfig DisableSharing 0x00000000 (0)， 它将使%windir%SysConfig成为KaZaA的一个共享目录，使其它的KaZaA用户可以下载。
清除方法：
A、若系统为WinMe或Win2000，先关闭系统还原功能；
B 找到病毒进程execfg4.exe，并将其结束；找到病毒文件夹SysConfig，将其删除；
C、删除以下注册表信息：
HKEY_LOCAL_MACHINESoftwarePositron4
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"SysConfig= "C:%windir%syscfg35""
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"execfg4= "C:%Windir%execfg4.exe""

　　二、盗号木马：“传奇密码盗”( Win32.Troj.MirHello) ★★

　　该盗号木马和其它的盗号木马一样，也是通过安装者自定接收邮箱，然后恶意安装在其它的电脑中或是诱骗它人运行该木马。木马盗得密码后会发送到指定的邮箱。“传奇密码盗”的特别之处在于：它安装在系统中的的复本名字是随机的，不易发现；它为了能获得更多的生存时间，会中止金山毒霸等多数知名反病毒软件。这类恶意的盗号木马会让用户遭受直接或简接的经济损失，还会使系统出现不稳定的现象。以下是该木马的技术特点：
　　A、复制病毒体到%System%中，文件名为任意;
　　B、释放一个同名的DLL文件到%System%目录中。
　　C、在注册表的主键:
　　　 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　　 中添加如下键值为:
　　　 "Windows Media SP.2.7.7" = "%System%%木马名%.exe"　
　　 　以便病毒会随机自启动．
　　D、会关闭金山毒霸等知名反病毒软件
　　E、该木马会试图偷传奇等游戏的密码,发送到指定的信箱中;
手工解决方法：
　　该木马使用随机程序名，不易手工清除，建议使用最新病毒库的金山毒霸来查杀。


专家提醒：

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（www.duba.net）上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
　　duba.net 现已推出“在线病毒日历”，及时为您播报近期危险病毒，敬请关注；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

（以上摘自瑞星跟金山网站）



[此贴被kxct在2004-01-08 20:12重新编辑]


技术无忧.net

上一篇：ＤＩＹ　电脑的经验谈

下一篇：初学DOS者有必要掌握的几个命令！

昵称 (必填)

验证码 (必填)