光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
光华反病毒资讯(1)
光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、W32病毒:W32.Looked.AH 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个W32病毒,长度 45,147 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,利用局域网共享传播,感染可执行文件,当收到、打开此病毒后,有以下现象:
A 复制自身到Windows目录下创建文件"rundl132.exe" 和"Logo1_.exe"
B 在 Windows 生成文件 Dll.dll 用于下载执行新病毒
C 创建以下文件:
C:\1.txt
Windows目录 0Sy.exe
用户目录 Local Settings\Temp\$$a5.bat
用户目录 Local Settings\Temp\$$ab.bat
D 检查以下注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\"auto" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\"ver_down0" = "[从
http://lele.0451.net/gua/3in下载的文本]"
如果不存在,病毒创建这些值
E 增加"load" = "%Windir%\rundl132.exe"到注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
使得病毒每次开机后执行
F 结束以下进程
RavMon.exe
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe
G 停止以下服务
Kingsoft AntiVirus Service
H 插入Dll.dll 到 iexplorer.exe 和 explorer.exe
I 从lele.0451.net/gua/3in下载文件保存到windows目录的0Sy.exe
J 搜索所有的.exe文件并感染
K 搜索所有局域网络共享中的.exe文件并感染
L 通过 ICMP 发送 "Hello,World".
M 定时将音量关闭到0
N 搜索标题为"AVP.AlertDialog"的窗口,点击按钮“允许”和“跳过”
O 在所有的目录下生成 _desktop.ini 文件,设置内容为自动执行病毒
P 排除感染含以下文件名和路径的文件
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Windows NT
WindowsUpdate
ComPlus Application
NetMeeting
Common Files
Messenger
InstallShield Installation Information
Microsoft FrontPage
Movie Maker
MSN Gaming Zone
Q 避免感染长度大于 16,777,216 的文件
网友评论