病毒预警:光华反病毒资讯(8月22日-8月28日)
光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、蠕虫病毒:W32.Zotob.I 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,该病毒长度 46,080 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统,它利用微软即插即用服务漏洞传播(参见微软安全公告MS05-039 http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx),当收到、打开此病毒时,有以下危害:
A 创建 S-Y-B-O-T-By-Sky-Dancer 信号量来识别自身
B 复制自身到系统目录的hpsv.exe
C 增加键值"WINDOWS SYSTEM" = "botzor.exe"到注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
使得病毒每次开机后自动执行
D 打开后门连接到黑客指定的主机 sezen.aydankaya.org 的 TCP 端口 4455,等待黑客指令
E 允许黑客下载执行任意文件
F 打开 FTP 服务器,通过 TCP 端口 19907,让黑客从中毒机中下载复制任意文件
G 从中毒机的 IP 地址起生成系列地址
H 扫描地址是否有微软即插即用服务漏洞(参见微软安全公告MS05-039
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx)
I 如果成功扫描到,利用漏洞打开一个后门
J 通过后门,发送文件 2pac.txt,这个文件包括 FTP 脚本,来下载蠕虫
K 保存蠕虫为 haha.exe 文件并执行
L 通知 IRC 服务器被感染的 IP 地址,加入染毒列表
光华反病毒软件已经对这种病毒进行了处理,请用户升级后,使用光华反病毒软件清除。
二 木马病毒 Trojan.Desktophijack.C 危害级别:★★☆☆☆
根据光华反病毒研究中心专家介绍,Trojan.Desktophijack.C 是一个木马病毒,该病毒长度 40,448 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统,破坏计算机的桌面设置,当收到、打开此病毒时,主要有以下危害:
A 生成以下文件
系统目录intell32.exe,oleext.dll,oleext32.dll,wppp.html
Win目录uninstIU.exe
B 增加键值"intell32.exe" = "%System%\intell32.exe"到注册表的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
使得病毒每次开机后自动执行
C 增加键值
HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update
D 修改组册表的 HKEY_CURRENT_USER\Control Panel\Colors的键值为 "Background" = "0 0 0"
E 修改组册表的
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer的键值为
"NoActiveDesktopChanges" = "1"
F 增加键值
"WallpaperStyle" = "0"
"Wallpaper" = "%SystemRoot%\%System%\wppp.html" 到注册表的
HKEY_CURRENT_USER\Control Panel\Desktop修改桌面壁纸
G 增加键值
"NoDispBackgroundPage" = "1"
"NoDispAppearancePage" = "1"到注册表的
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
修改桌面壁纸
H 显示桌面壁纸(见图一)
I 在系统托盘显示图标 (见图二)
J 当鼠标移至图标上时显示信息 Your computer is infected.
K 当双击图标时打开链接
http://www.psguard.com/[已删除]?aff=43&sub=0
L 试图下载执行文件
http://download.psguard.com/[已删除]/PSGuardInstall.exe
M 重启计算机时用病毒(命名为oleext32.dll)覆盖 wininet.dll 文件
北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到8月22日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)
就可以完全查杀这些病毒。
更多精彩的精彩IT新闻电视,请点击进入 PChome新闻中心
如果对本栏目有任何建议、意见或问题,或者有任何IT业界资讯、厂商新闻视频内容合作,欢迎点击 PChome新闻中心联络页面 发邮件或致电021-64480216/7*222联系, 惟冰会尽快给予回复,并且感谢大家对PChome新闻中心一贯的关注和支持!
厂商过往新闻发布请点击PChome新闻中心 厂商新闻专区 查询,或点击 PChome新闻中心联络页面 及致电021-6480217/6*222直接联系。
更多优惠,更多惊喜,请拨DELL免费电话800-858-2336
网友评论