光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、W32病毒:W32.Memesa 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个W32病毒,长度 38,400 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它将自身作为附件,通过邮件传播,改变桌面背景,用IE打开本地页面。当收到、打开感染此病毒的邮件附件时,有以下现象:
A 创建以下文件
Windows目录\svchost.exe Windows目录\dllhost.exe Windows目录\windos.exe
[盘符]\agnes vs f4.exe [盘符]\foto panas agnes.exe [盘符]\foto mesra f4 vs agnes monica.exe
Windows目录\meme.bmp Windows目录\memesayang.htm Windows目录\happyday.htm Windows目录\putuscinta.htm
B 增加注册表键值 "sysshell" = "%Windir%\svchost.exe"和 "dllhost" = "%Windir%\dllhost.exe"
到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动执行
C 修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 的键值 "DisableRegistryTools" = "1"和 "DisableTaskMgr" = "1"
禁用注册表编辑器和任务管理器
D 修改注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 的键值 "CheckedValue" = "1"和 "DefaultValue" = "1"
E 修改注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN 的键值 "CheckedValue" = "2"和 "DefaultValueSUCCESS" = "2"
F 修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 的键值 "Hidden" = "1" 和 "HideFileExt" = "1"
G 修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 的键值 "NoFolderOptions" = "1"
H 搜索所有以下扩展名的文件 .xls
.pdf .doc .jpg
I 复制自身为搜索到的同名exe扩展名的文件,如搜索到 c:\1.xls ,复制病毒为 c:\1.exe
J 改变桌面背景为图
K 发送ICMP应答到地址 http://www.telk[已删除]
L 将自身作为附件,通过以下邮件传播
主体(以下之一):
Sstt..! foto2 panas agnes dengan f4! FWD: foto mesra agnes vs f4!
内容(以下之一):
Apakah Anda sedang jatuh cinta? Apakah cinta Anda cinta sejati? Check this out!
Ssstt, kumpulan foto mesra f4 dengan agnes monica!
附件名(以下之一):
foto mesra f4 vs agnes monica.zip agnes vs f4.zip foto panas agnes.zip
M 用IE打开本地页面,内容为:
KU TAK TAHU APA SALAHKU YANG SEBENARNYA. KU TELAH MELAKUKAN MEMPERSIAPKAN SEMUANYA. TETAPI APA YAN [REMOVED] RENA TIDAK ADA GUNANYA BERGAUL DENGAN ORANG YANG HANYA BISA MENYEDOT ENERGI POSITIFMU KELUAR.
二 后门病毒 Backdoor.Wualess.B 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个后门病毒,长度 12,168 或 23,040 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个病毒打开后门,等待黑客命令,下载执行远程病毒文件,当含有病毒的文件被打开时,有以下现象:
A 搜索文件wuauclt.dll
B 将搜到的文件更名为wuauclt.dll.bak
C 复制自身到系统目录的wuauclt.dll
D 增加键值"ServiceDll" = "%System%\wuauclt.dll" 到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
使得病毒每次开机后自动执行
E 创建系统互斥量 Build20061130 ,使得病毒仅执行一次
F 打开后门,通过TCP端口5202连接到IRC服务器频道 NameLess.3322.org
G 等待黑客下达以下命令
下载执行的文件 收集计算机信息 测试连接速度
在线更新病毒版本
传出计算机中黑客制定的任意文件 结束线程和进程 收集域服务器信息
