病毒预警:光华反病毒资讯(11月7日-11月13日)

互联网 | 编辑: 2005-11-07 00:00:00转载-投稿

光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站 http://www.viruschina.com下载升级包,以下是几个重要病毒的简介:

一、邮件病毒 W32.Beagle.CN@mm 危害级别:★★★☆☆
根据光华反病毒研究中心专家介绍,该病毒长度 19,003 字节,感染使用 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 系统,此病毒使用自带的SMTP引擎发送病毒Trojan.Lodear,降低安全设置,并且打开计算机TCP的80端口作为代理访问后门,到当收到、打开此病毒时,有以下危害:
A 复制自身到系统目录的windll2.exe
B 增加注册表键值
"erthegdr" = "%System%\windll2.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
使得病毒每次开机后自动执行
C 创建以下系统信号量,对W32.Netsky病毒及变种免疫
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
D 设置以下注册表,降低安全设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"My AV"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Zone Labs Client Ex"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"9XHtProtect"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Antivirus"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Special Firewall Service"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"service"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Tiny AV"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"ICQNet"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"HtProtect"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"NetDy"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Jammer2nd"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"FirewallSvr"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"MsInfo"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"SysMonXP"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"EasyAV"
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"PandaAVEngine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Norton Antivirus AV"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"KasperskyAVEng"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"SkynetsRevenge"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"ICQ Net"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"My AV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Zone Labs Client Ex"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"9XHtProtect"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Antivirus"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Special Firewall Service"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"service"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Tiny AV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"ICQNet"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"HtProtect"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"NetDy"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Jammer2nd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"FirewallSvr"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"MsInfo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"SysMonXP"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"EasyAV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"PandaAVEngine"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Norton Antivirus AV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"KasperskyAVEng"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"SkynetsRevenge"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"ICQ Net"

E 在2009年9月23日删除注册表项
HKEY_CURRENT_USER\Software\"ewrt"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"erthegdr"

F 打开计算机TCP的80端口作为代理访问后门

G 访问下述网址,下载文件保存到Windows目录的eml.exe(此文件是病毒Trojan.Lodear)
http://localhost/[已删除]/sss.php
http://localhost/[已删除]/script2.php
http://localhost/[已删除]/script3.php
http://clickhare.com/[已删除]/images/w3eb.php
http://amerikansk-bulldog.dk/[已删除]/images/w3eb.php
http://eventpeopleforyou.com/[已删除]/help/w3eb.php
http://ekshrine.com/[已删除]/images/w3eb.php
http://www.familia-sanchez.net/[已删除]/images/w3eb.php
http://www.asymchem.com/[已删除]/images/w3eb.php
http://www.baku-xeber.com/[已删除]/images/w3eb.php
http://www.abmedical.pl/[已删除]/images/w3eb.php
http://www.cellphonemadeinchina.com/[已删除]/images/w3eb.php

H 用自带的SMTP引擎发送病毒Trojan.Lodear,邮件为
发件人: Spoofed
主题: Blank
内容(以下之一):
The password is
Password:
info
texte
附件名(以下之一):
text_sms.zip
sms_text.zip
The_new_prices.zip
Info_prices.zip
Business_dealing.zip
Business.zip
max.zip
Health_and_knowledge.zip

I 避免发送到含以下内容的地址
@eerswqe
@derewrdgrs
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

二、木马病毒:Trojan.Goldun.G 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,该病毒长度 52,736 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,此病毒收集用户信息,发送给黑客,并且把被感染的计算机变成发送垃圾邮件的服务器,到当收到、打开此病毒时,有以下危害:
A 创建文件sysctl32.dll到系统目录,并插入到进程EXPLORER.EXE
B 增加注册表项"sysctl32" = "{D5FB5E20-DE80-12CF-9C87-C0AB005187DF}" 到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
并且增加注册表项"(Default)" = "%System%\sysctl32.dll" 到
HKEY_CLASSES_ROOT\CLSID\{D5FB5E20-DE80-12CF-9C87-C0AB005187DF}\InProcServer32
使得病毒每次开机后自动执行
C 收集用户的计算机名、IP地址、操作系统类型版本、联网速度等信息,发送给黑客,提交地址为http://test-ware.dyndns.biz/[已删除]/cgi-bin/result.pl
D 下载黑客设定的内容地址等信息,大量发送垃圾邮件
F 使用rootkit技术隐藏自身,不被任务管理器可见和结束

北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到11月07日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。
 

更多精彩的精彩IT新闻电视,请点击进入 PChome新闻中心

如果对本栏目有任何建议、意见或问题,或者有任何IT业界资讯、厂商新闻视频内容合作,欢迎点击 PChome新闻中心联络页面 发邮件或致电021-64480216/7*222联系, 我们会尽快给予回复,并且感谢大家对PChome新闻中心一贯的关注和支持!

厂商过往新闻发布请点击PChome新闻中心 厂商新闻专区 查询,或点击 PChome新闻中心联络页面 及致电021-6480217/6*222直接联系。

更多优惠,更多惊喜,请拨DELL免费电话800-858-2336

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑