病毒预警：光华反病毒资讯(11月21日－11月27日)

光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介： 

一、邮件病毒：W32.Sober.X@mm 危害级别：★★★★☆ 

根据光华反病毒研究中心专家介绍，该病毒长度 55,390 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，它使用自带的 SMTP 引擎传播，将病毒本身作为附件，发送到从被感染计算机中收集到的邮件地址，邮件具有英文、德语两种语言，当收到、打开此病毒时，有以下危害： 
A 显示信息提示
标题: WinZip Self-Extractor
内容: Error: CRC not complete
B 复制自身到WINDOWS目录的csrss.exe 、WinSecurity\services.exe 、WinSecurity\smss.exe
C 创建文件WinSecurity\socket1.ifo到WINDOWS目录，这是个使用 MIME 编码，具有.zip扩展名的文件，内容是病毒自身
D 创建以下文件到WINDOWS目录
WinSecurity\mssock1.dli 
WinSecurity\mssock2.dli 
WinSecurity\mssock3.dli 
WinSecurity\winmem1.ory 
WinSecurity\winmem2.ory 
WinSecurity\winmem3.ory 
WinSecurity\sysonce.tst 
WinSecurity\starter.run 
WinSecurity\nexttroj.tro 
E 创建以下文件到系统目录
bbvmwxxf.hml 
langeinf.lin 
nonrunso.ber 
rubezahl.rub
F 增加注册表项"_Windows" = "%Windir%\WinSecurity\services.exe"到注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动执行
G 检查网络连接,从以下NTP服务器中获取日期
Rolex.PeachNet.edu 
clock.psu.edu 
cuckoo.nevada.edu 
gandalf.theunixman.com 
nist1.datum.com 
ntp-1.ece.cmu.edu 
ntp-2.ece.cmu.edu 
ntp-sop.inria.fr 
ntp.lth.se 
ntp.massayonet.com.br 
ntp.metas.ch 
ntp.pads.ufrj.br 
ntp0.cornell.edu 
ntp1.arnes.si 
ntp1.theremailer.net 
ntp2.ien.it 
ntp2b.mcc.ac.uk 
ntp2c.mcc.ac.uk 
ntp3.fau.de 
ntps1-1.uni-erlangen.de 
ptbtime2.ptb.de 
rolex.usg.edu 
st.ntp.carnet.hr 
sundial.columbia.edu 
swisstime.ethz.ch 
tick.greyware.com 
time-a.timefreq.bldrdoc.gov 
time-ext.missouri.edu 
time.chu.nrc.ca 
time.ien.it 
time.kfki.hu 
time.mit.edu 
time.nist.gov 
time.nrc.ca 
time.windows.com 
time.xmission.com 
timelord.uregina.ca 
tock.keso.fi 
utcnist.colorado.edu 
vega.cbk.poznan.pl

H 从以下扩展名的文件中收集邮件地址
.abc 
.abd 
.abx 
.adb 
.ade 
.adp 
.adr 
.asp 
.bak 
.bas 
.cfg 
.cgi 
.cls 
.cms 
.csv 
.ctl 
.dbx 
.dhtm 
.doc 
.dsp 
.dsw 
.eml 
.fdb 
.frm 
.hlp 
.imb 
.imh 
.imh 
.imm 
.inbox 
.ini 
.jsp 
.ldb 
.ldif 
.log 
.mbx 
.mda 
.mdb 
.mde 
.mdw 
.mdx 
.mht 
.mmf 
.msg 
.nab 
.nch 
.nfo 
.nsf 
.nws 
.ods 
.oft 
.php 
.phtm 
.pl 
.pmr 
.pp 
.ppt 
.pst 
.rtf 
.shtml 
.slk 
.sln 
.stm 
.tbb 
.txt 
.uin 
.vap 
.vbs 
.vcf 
.wab 
.wsh 
.xhtml 
.xls 
.xml

I 排除掉含有以下内容的邮件地址
-dav 
.dial. 
.kundenserver. 
.ppp. 
.qmail@ 
.sul.t- 
@arin 
@avp 
@ca. 
@example. 
@foo. 
@from. 
@gmetref 
@iana 
@ikarus. 
@kaspers 
@messagelab 
@nai. 
@panda 
@smtp. 
@sophos 
@www 
abuse 
announce 
antivir 
anyone 
anywhere 
bellcore. 
bitdefender 
clock 
detection 
domain. 
emsisoft 
ewido. 
free-av 
freeav 
ftp. 
gold-certs 
google 
host. 
icrosoft. 
ipt.aol 
law2 
linux 
mailer-daemon 
mozilla 
mustermann@ 
nlpmail01. 
noreply 
nothing 
ntp- 
ntp. 
ntp@ 
office 
password 
postmas 
reciver@ 
secure 
service 
smtp- 
somebody 
someone 
spybot 
sql. 
subscribe 
support 
t-dialin 
t-ipconnect 
test@ 
time 
user@ 
variabel 
verizon. 
viren 
virus 
whatever@ 
whoever@ 
winrar 
winzip 
you@ 
yourname

J 发送自身到收集到的邮件地址，邮件具有英文、德语两种语言
德语的邮件为
发件人: [SPOOFED]
主题以下之一:
Ihr Passwort 
Account Information 
SMTP Mail gescheitert 
Mailzustellung wurde unterbrochen 
Ermittlungsverfahren wurde eingeleitet 
Sie besitzen Raubkopien 
RTL: Wer wird Millionaer 
Sehr geehrter Ebay-Kunde
内容以下之一:
Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team 
Aktenzeichen NR.:#
(siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0 
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99

附件以下之一:
[字符串1].zip 
[字符串1]-TextInfo.zip 
Email.zip 
Email_text.zip 
[字符串2].zip 
Akte[字符串2].zip 
[字符串3].zip 
[字符串3]_Text.zip 
Ebay.zip 
Ebay-User_RegC.zip

其中的[字符串1]为以下之一: 
Service 
Webmaster 
Postman 
Info 
Hostmaster 
Postmaster 
Admin

其中的[字符串2]为以下之一: 

Downloads 
BKA 
Internet 
Post 
Anzeige 
BKA.Bund

其中的[字符串3]为以下之一: 

Kandidat 
WWM 
Auslosung 
Casting 
Gewinn 
Info 
RTL-Admin 
RTL 
Webmaster 
RTL-TV 

英语邮件为

发件人: [SPOOFED]
主题为以下之一:

Your Password 
Registration Confirmation 
smtp mail failed 
Mail delivery failed 
hi, ive a new mail address 
You visit illegal websites 
Your IP was logged 
Paris Hilton & Nicole Richie

内容为以下之一:


***** Go to: http://www.[DOMAIN NAME OF SENDER]
***** Email: postman 
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa 
Please answer our questions!
Steven Allison
Department Office Admin Mail Post
===dkX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@?
===dt4OduXRRL062WR)Wd.2XRPX,dKa,dnSS1d4vvy
*** Washington, DC 20535
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time 
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.

附件名为以下之一:

reg_pass.zip 
reg_pass-data.zip 
mail.zip 
mail_body.zip 
mailtext.zip 
list[随机字符].zip 
question_list[随机字符].zip 
downloadm.zip 


光华反病毒软件已经对这种病毒进行了处理，请用户升级后，使用光华反病毒软件清除。 

二 手机病毒 SymbOS.Cardtrp.F 危害级别：★★☆☆☆ 
根据光华反病毒研究中心专家介绍，SymbOS.Cardtrp.F 是一个手机病毒，该病毒长度 302,342 字节，感染 S60 智能手机系统，破坏手机很多程序运行，释放多种手机病毒，并且生成病毒W32.Ifbo.A, W32.HLLW.Cydog@mm, 和 W32.Wullik@mm，感染读取手机存储卡的计算机，病毒通常具有的文件名为 Antiviruspack.sis。当收到、打开此病毒时，主要有以下危害： 

A 生成以下文件

.\Risk.exe, 病毒 W32.HLLW.Cydog@mm 
.\fsb.exe 病毒 W32.Ifbo.A 
.\Anti-VirusPack(Pack1).sis 病毒 SymbOS.Cabir 
.\Anti-VirusPack(Pack1)0.sis 病毒 SymbOS.Cabir 
.\PopUp0.txt 
.\About0.txt 
C:\autorun.inf 
C:\etelsat.dll 
C:\etelpckt.dll 
C:\etelmm.dll 
C:\ETel.dll 
C:\system\Programs\cwoutcast.exe 
C:\system\apps\Anti-Virus\FSAVDT.exe 
C:\system\apps\Anti-Virus\Anti-Virus.rsc 
C:\system\apps\Anti-Virus\Anti-Virus.app 
C:\system\apps\Anti-Virus\FsAVUpdater.rsc 
C:\system\apps\Anti-Virus\FsAVUpdater.app 
C:\system\apps\Anti-Virus\FSAVEPOC.DAT 
C:\system\apps\AntiVirus\flo.mdl 
C:\system\apps\AntiVirus\Antivirus.rsc 
C:\system\apps\AntiVirus\Antivirus.app 
C:\system\apps\AppCtrl\AppCtrl.app 
C:\system\apps\AppInst\Appinst.app 
C:\system\apps\AppInst\Appinst.aif 
C:\system\apps\AppMngr\AppMngr.app 
C:\system\apps\AppMngr\AppMngr.aif 病毒 SymbOS.Skulls.C 
C:\system\apps\autolock\Autolock.app 
C:\system\apps\autolock\Autolock.aif 病毒 SymbOS.Skulls.C 
C:\system\apps\bootdata\bootdata_CAPTION.rsC 
C:\system\apps\bootdata\bootdata.app 
C:\system\apps\CallManager\CallManager.App 
C:\system\apps\caribe\flo.mdl 
C:\system\apps\caribe\caribe.rsc 
C:\system\apps\caribe\caribe.app 病毒 SymbOS.Cabir 
C:\system\apps\CommWarrior\commwarrior.exe 
C:\system\apps\CommWarrior\commrec.mdl 
C:\system\apps\EVS\EVS.rsc 
C:\system\apps\EVS\EVS.app 
C:\system\apps\FileManager\FileManager.app 
C:\system\apps\FileManager\FileManager.aif 病毒 SymbOS.Skulls.C 
C:\system\apps\FSECUREANTIVIRUS\FSECUREANTIVIRUS.rsc 
C:\system\apps\FSECUREANTIVIRUS\FSECUREANTIVIRUS.mdl 
C:\system\apps\FSECUREANTIVIRUS\FSECUREANTIVIRUS.app 病毒 SymbOS.Cabir 
C:\system\apps\Gavno\gavno_caption.Rsc 
C:\system\apps\Gavno\gavno.Rsc 
C:\system\apps\Gavno\gavno.App 
C:\system\apps\Menu\Menu.app 
C:\system\apps\Menu\Menu.aif 病毒 SymbOS.Skulls.C 
C:\system\apps\MMCApp\MMCApp.app 
C:\system\apps\MMCApp\mmcapp.aif 病毒 SymbOS.Skulls.C 
C:\system\apps\MultiTrap\MultiTrap 
C:\system\apps\MultiTrap\MultiTrap.app 
C:\system\apps\MultiTrap\ezrecog.MDL 
C:\system\apps\MultiTrap\MultiTrap.rsc 
C:\system\apps\OIDI500\OIDI500.rsc 
C:\system\apps\OIDI500\OIDI500.mdl 
C:\system\apps\OIDI500\OIDI500.app 病毒 SymbOS.Cabir 
C:\system\apps\OIDI500\OIDI500.aif 
C:\system\apps\symcs\symcs.rsc 
C:\system\apps\symcs\symcs.app 
C:\system\apps\symcs\Security.rsc 
C:\system\apps\symcs\Security.app 
C:\system\apps\symlu\symlu.rsc 
C:\system\apps\symlu\symlu.exe 
C:\system\apps\velasco\velasco.rsc 
C:\system\apps\velasco\velasco.app 
C:\system\apps\velasco\marcos.mdl 
C:\system\bif\FSBioMessage.bif 
C:\system\bif\AVBioIcons.mbm 
C:\system\bootdata\LocaleData.D01 
C:\system\bootdata\HALData.dat 
C:\system\bootdata\FirstBoot.dat 
C:\system\bootdata\CommonData.D00 
C:\system\bootdata\SIMLanguage.dat 
C:\system\CARIBESECURITYMANAGER\caribe.app 病毒 SymbOS.Cabir 
C:\System\MALAYSIAJOHOR--jb\yuanV3-diy-by-7022207\free$8.RSC 
C:\System\MALAYSIAJOHOR--jb\yuanV3-diy-by-7022207\free$8.APP 病毒 SymbOS.Cabir 
C:\system\RECOGS\YYSBootRec.mdl 
C:\system\RECOGS\mod.MDL 
C:\system\RECOGS\FSRec.mdl 
C:\system\RECOGS\flo.mdl 
C:\system\RECOGS\$$$.MDL 
C:\System\SKULLSXSECUREDATA\SKULLSXSECUREDATA\SKULLSSECURITYMANAGER\system\apps\skulls\skulls.rsc 
C:\System\SKULLSXSECUREDATA\SKULLSXSECUREDATA\SKULLSSECURITYMANAGER\system\apps\skulls\skulls.app 病毒 SymbOS.Cabir 
C:\System\SKULLSXSECUREDATA\SKULLSXSECUREDATA\SKULLSSECURITYMANAGER\system\apps\skulls\mod.mdl 
C:\System\SKULLSXSECUREDATA\SKULLSXSECUREDATA\SKULLSSECURITYMANAGER\skulls.RSC 
C:\System\SKULLSXSECUREDATA\SKULLSXSECUREDATA\SKULLSSECURITYMANAGER\skulls.APP 病毒 SymbOS.Cabir 
C:\nokia\images\nokias\malaysia\johor\pj\pj\pj\jb\jb\jb\imos\yuan\yuan\yuanyuan\blue\a-team\terence\ownpda\fuyuan.gif 
Z:\System\Apps\AppInst\Appinst.app 
Z:\System\Apps\AppInst\Appinst.aif 
Z:\System\Apps\Phone\Menu.app 
Z:\System\Apps\Phone\Menu.aif 病毒 SymbOS.Skulls.C 
Z:\System\Apps\Phone\Phone.app 
Z:\System\Apps\Phone\Phone.aif 病毒 SymbOS.Skulls.C 
Z:\System\Apps\Phone\FREAKPHONE_CAPTION.RSC 
Z:\System\Apps\Phone\FREAKPHONE.RSC 
Z:\System\Apps\Phone\FREAKPHONE.APP 
Z:\System\Apps\Phone\FreakPhone.aif 
Z:\System\bin\pbe.dll 
Z:\system\install\languages.txt 
Z:\system\install\operinfo.txt 
Z:\System\Programs\Starter.exe 
Z:\System\Programs\midp2.exe 
Z:\System\Programs\dnd.exe 
Z:\System\Programs\AppRun.exe

B 生成以下文件到手机存储卡

E:\autorun.inf 
E:\system.exe 病毒 W32.Wullik@mm 
E:\system\APPS.exe 病毒 W32.Ifbo.A 
E:\system\apps\ProfiExplorer\ProfiExplorer.app 
E:\system\apps\ProfiExplorer\ProfiExplorer.aif 病毒 SymbOS.Skulls.C 
E:\system\CARIBESECURITYMANAGER\caribe.rsc 
E:\system\apps\SmartFileMan\SmartFileMan_CAPTION.rsC 
E:\system\apps\SmartFileMan\SmartFileMan.rsc 
E:\system\apps\SmartFileMan\SmartFileMan.app 
E:\system\apps\SmartFileMan\SmartFileMan.aif 
E:\system\apps\SmartFileMan\flo.mdl 
E:\system\apps\Launcher\Launcher.app 
E:\system\apps\FExplorer\flo.mdl 
E:\system\apps\FExplorer\FExplorer_CAPTION.rsC 
E:\system\apps\FExplorer\FExplorer.rsc 
E:\system\apps\FExplorer\FExplorer.app 
E:\system\apps\FExplorer\FExplorer.aif 
E:\system\apps\SystemExplorer\SystemExplorer_CAPTION.rsC 
E:\system\apps\SystemExplorer\SystemExplorer.rsc 
E:\system\apps\SystemExplorer\SystemExplorer.app 
E:\system\apps\SystemExplorer\SystemExplorer.aif

C 当手机存储卡连接到计算机时, autorun.inf 文件试图执行 Risk.exe 和 fsb.exe, (Risk.exe是病毒 W32.HLLW.Cydog@mm , fsb.exe 是病毒 W32.Ifbo.A)

请用光华反病毒软件 S60 手机版清除，免费下载地址为：http://www.viruschina.com/html/VirusCleanC60.SIS 

北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到11月21日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。

更多精彩的精彩IT新闻电视，请点击进入 PChome新闻中心

如果对本栏目有任何建议、意见或问题，或者有任何IT业界资讯、厂商新闻视频内容合作，欢迎点击 PChome新闻中心联络页面 发邮件或致电021－64480216/7*222联系， 我们会尽快给予回复，并且感谢大家对PChome新闻中心一贯的关注和支持！

厂商过往新闻发布请点击PChome新闻中心 厂商新闻专区 查询，或点击 PChome新闻中心联络页面 及致电021－6480217/6*222直接联系。

更多优惠，更多惊喜，请拨DELL免费电话800-858-2336