光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站
http://www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、木马病毒:Trojan.Gamqowi 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,该病毒长度 159,744 字节,感染使用 Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003, Windows XP
系统,此病毒打开后门,降低系统安全设置,到当收到、打开此病毒时,有以下危害:
A 建立系统互斥量 lmnla,识别木马只感染系统一份
B 复制自身到windows目录的 mwfirewall.exe 和 svch0st.exe
C 释放文件mscore32.dll dodrrr.exe msconfl.dat 到windows目录
D 从注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中
删除"devsec"
E 从注册表
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer 中
删除"sp0furl" "upurl" "sockport" "emsss" 和 "emsrv"
E 增加 "ms_anti_spyware" = "%Windir%\mwfirewall.exe"
和 "WINRUN" = "svch0st.exe"
到注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
使得病毒每次开机后启动
F 修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
中的
"SFCDisable" 为 "0"
"SFCScan" 为 "0"
降低系统安全设置
G 增加 "lmnla" "veer" "mtxnm" 到注册表的
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer
H 修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
中的 "DisableRegistryTools" 为 "0"
I 注入 mscore32.dll 到创建 Shell_TrayWnd 窗口的进程中
J 结束以下进程(部分为安全进程)
ccapp.exe
zapro.exe
armor2net.exe
ZAPRO.EXE
amon.exe
MpfService.exe
zonealarm.exe
outpost.exe
firewall.exe
atguard.exe
tpfw.exe
kpf4ss.exe
mrt.exe
NPROTECT.EXE
kpf4gui.exewintbp.exe
svnlitup32.exe
service32.exe
mousebm.exe
llsrv.exe
pnpsrv.exe
winpnp.exe
csm.exe
system32.exe
botzor.exe
upnp.exe
wintbpx.exe
winshost.exe
windll2.exe
firewall_anti.exe
wintbpx.exe
FirewallSvr.exe
K 屏蔽以下网站的访问
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
f-secure.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
my-etrust.com
nai.com
networkassociates.com
oxyd.fr
pandasoftware.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
t35.com
t35.net
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
virustotal.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.oxyd.fr
www.pandasoftware.com
www.sophos.com
www.symantec.com
www.t35.com
www.t35.net
www.trendmicro.com
www.viruslist.com
www.virustotal.com
L 联系 195.245.244.243 服务器的 TCP 4661 端口并且等待黑客下达以下命令
获取系统信息
下载文件执行
发送邮件
M 下载以下文件执行
http://qanmqqoiw.com/[已删除]/up.php:%Windir%\ajlkqjlk.exe
二、木马病毒 Trojan.Elzio.A 危害级别:★★★☆☆
根据光华反病毒研究中心专家介绍,该病毒长度 126, 464 字节,感染使用 Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003, Windows XP
系统,此病毒收集窃取个人资料信息,并发布到网上,到当收到、打开此病毒时,有以下危害:
A 复制自身到系统目录的[随机字母]\[随机字母].exe
B 生成 执行 并删掉一个随机命名的驱动程序 系统目录\[随机字母]\[随机字母].sys
例如:c:\windows\system32\jhijhk\rkkt.sys
C 生成一个随机命名的服务程序并设置为自动执行,使得病毒每次开机后获取控制权
D 增加"[随机字母]" = "%System%\[[随机字母]\[随机字母].exe" 到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
病毒每次开机后自动执行
E 收集系统中的以下信息
安装过的软件
最近打开和播放过的文件
Microsoft Windows 信息
Microsoft Internet Explorer 设置
访问过的网站 Web sites
其他信息识别资料例如姓名地址
F 定期上传到网站 lzio.com
G 显示http://offers.ukiee.com[已删除] 中的广告
北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到10月24日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。
更多精彩的精彩IT新闻电视,请点击进入 PChome新闻中心
如果对本栏目有任何建议、意见或问题,或者有任何IT业界资讯、厂商新闻视频内容合作,欢迎点击 PChome新闻中心联络页面 发邮件或致电021-64480216/7*222联系, 我们会尽快给予回复,并且感谢大家对PChome新闻中心一贯的关注和支持!
厂商过往新闻发布请点击PChome新闻中心 厂商新闻专区 查询,或点击 PChome新闻中心联络页面 及致电021-6480217/6*222直接联系。
更多优惠,更多惊喜,请拨DELL免费电话800-858-2336
网友评论