病毒预警:光华反病毒资讯(5月1日-5月7日)

互联网 | 编辑: 2006-05-08 00:00:00转载-投稿

光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介: 

一、木马病毒:Trojan.PPDropper 危害级别:★★★★☆ 

根据光华反病毒研究中心专家介绍,Trojan.PPDropper 是一个木马病毒,长度 379,904 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它利用了微软邮件路由串行漏洞(MS06-012 参见http://www.microsoft.com/technet/security/Bulletin/MS06-012.mspx),通过微软办公软件远程执行传播。当此病毒进行传播时,有以下现象: 

A 收到一封邮件
发信人:[某人]@yahoo.com
主题:new plan
内容:Dear sir:
In next week ,we will still procee the NAVAL operation practice .We know
you are very busy.But the practice plan is revised much.Please check the
revised plan,and if you are agreed with it please respond to us as quickly
as possible!!! We are so sorry ! Thanks and best wishes to you!
Regards
附件:newplan.ppt
B 打开附件时,幻灯文件利用了微软邮件路由串行漏洞生成执行了一个病毒
C 显示如下图片(图一)
D 生成另一病毒文件到临时目录,长度为 144,513 字节
E 通过微软办公软件远程执行病毒(Backdoor.Nithsys) 

二、宏病毒 W97M.Durlen 危害级别:★★★★☆ 

根据光华反病毒研究中心专家介绍,W97M.Durlen 是个宏病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 操作系统,它删除文件,降低系统安全设置,病毒在打开和关闭文档时触发。当收到、打开此病毒后,有以下现象: 

A 关闭Word宏保护功能
B 显示图片(图二)
C 删除 C:\windows, C:\windows\system, C:\windows\system32 C:\winnt 和 C:\的所有*.com *.删除exe文件
D 删除 C:\windows 下的 *.xls *.pdf *.rar *.ini *.htm *.bmp *.gif 文件
E 删除C:\Program Files\Microsoft Office\Office\Excel.exe 和
C:\Program Files\Microsoft Office\Office\Powerpnt.exe
F 关闭任务栏
G 增加注册表键值"Level" = "1"到
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security
和HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security
H 增加注册表键值"Lendur" = "Saved" 到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Lendur
和HKEY_CURRENT_USER\Software\Microsoft\Windows\Lendur
I 增加注册表键值"DisableTaskMgr" = "1"
和"DisableRegistryTools" = "1"到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
J 增加注册表键值"EnableFirewall" = "bx0"到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
K 增加注册表键值"EnableFirewall" = "0"到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\StandardProfile 
L 增加注册表键值
"NoRun" = "1"
"DisallowRun" = "1"
"NoFind" = "5"
"NoCloseKey" = "5"
"NoClose" = "5" 
"NoDesktop" = "3" 
"NoSaveSettings" = "3" 
"NoViewContextMenu" = "3"
"NoSetFolders" = "2" 
"NoFavoritesMenu" = "2" 
"NoSetTaskbar" ="2"到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
M 增加注册表键值 "NoDesktop" = "2" 到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
N 增加注册表键值 
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
O 增加注册表键值 
"MouseSensitivity" = "5"
"MouseSpeed" = "0"到
HKEY_CURRENT_USER\Control Panel\Mouse
P 生成以下文件
C:\Windows\Hzjl\News.doc 
C:\Windows\Vnbz\Girls.doc 
C:\Windows\Sgba\Joke.doc 
C:\Windows\Texts\Exemple.doc 
C:\My Documents\Information.doc 
C:\My Shared Folder\List.doc 
C:\WINDOWS\Application Data\Music.doc 
Q 保存当前word文件为 My Documents\information.doc 
R 生成文件C:\windows\readme.txt在每周的星期一、星期三、星期五显示
Virus activated with success. 2006.
S 感染 Normal.dot 文件 
T 隐藏WORD软件的宏菜单和禁用安全设置

相关阅读

每日精选

点击查看更多

最新快讯

热门文章

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑