光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、W32病毒:W32.Spybot.AMTE 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个W32病毒,长度 141,312 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它利用系统漏洞,通过破解网络共享弱口令和mIRC传播,当收到、打开感染此病毒时,有以下现象:
A 复制自身到
Windows目录\symtea.exe
B 增加注册表键值
"Microsoft"="symtea.exe"
到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动执行
C 修改文件
sfc.dll 和 sfc_os.dll
破解windows系统文件保护
D 修改
dllcache\tcpip.sys 和 drivers\tcpip.sys
破解windows并发连接最大数量限制
E 修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE 的键值 "EnableDCom" = "N"
减低安全设置
F 修改注册表
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 的键值 "restrictanonymous" = "1"
减低安全设置
G 通过端口 2007 或 666 连接到 IRC 服务器 symtec.easypwn.com d
打开后门供黑客进行以下操作
复制删除文件 下载文件 显示状态 显示 IP 地址 对本地网络中的所有计算机进行端口扫描 扫描漏洞 启动 ftpd 启动 IE 结束进程 停止其他蠕虫 停止安全服务 列出进程 进行网络嗅探
H 利用以下漏洞破坏和传播
分布式组件接口缓冲区溢出 MS03-026 参见 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
信使队列远程缓冲区溢出 MS05-017 参见 http://www.microsoft.com/technet/security/bulletin/ms05-017.mspx
ASN.1库多重堆栈溢出漏洞 MS04-007 参见 http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx
即插即用缓冲区溢出 MS05-039 参见 http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
工作站缓冲区溢出 MS03-049 参见 http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx
Server服务远程缓冲区溢出 MS06-040 参见 http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx
多重提供FTPD真实路径漏洞 CVE-1999-0368 参见
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0368
I 通过破解网络共享弱口令和mIRC传播
二 邮件病毒 W32.Koddro@mm 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个邮件病毒,长度 25,653 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个病毒被黑客用来窃取信用卡和储蓄卡信息,当含有病毒的邮件附件被打开时,有以下现象:
A 创建系统互斥量 wkoddr1
B 如果存在文件 ojsps.exe 则执行
C 收集以下扩展名文件中的邮件地址
adb asp dbx eml fpt inb mbx php pmr sht tbb htm txt wab
D 使用自带的邮件引擎将病毒自身作为附件发送给收集到的地址,邮件特征为
主题(以下之一)
Re: hello how are you? hello nissan skyline postcard 内容(以下之一) helo dear friend Hi, Mike, this is Jane helo dear friend nissan skyline is ol! You have got the postcard from your friend
附件名(以下之一)
cool.scr work.exe clickme.exe coolcar.scr behappy.scr
E 试图打开以下网址
https://meine.deutsche-bank.de/mod/WebObjects/dbp[已删除] https://meine.deutsche-bank.de/mod/WebObjects/dbpb[已删除] https://my.hypovereinsbank.de/prot/templates/login_[已删除] https://my.hypovereinsbank.de/prot/templates/ind[已删除] https://www.dresdner-privat.de/inde[已删除] https://www.dresdner-privat.de/inde[已删除] https://bankingportal.kreissparkasse-schwalm-eder.de/ban[已删除] https://bankingportal.kreissparkasse-schwalm-eder.de/ban[已删除] https://bankingportal.sparkasse-koelnbonn.de/ban[已删除] https://bankingportal.sparkasse-koelnbonn.de/ban[已删除] https://banking.sparkasse-dessau.de/cgi/anfa[已删除] https://banking.sparkasse-dessau.de/cgi/log[已删除] https://ww2.homebanking-berlin.de/cgi/anfa[已删除] https://ww2.homebanking-berlin.de/cgi/log[已删除] https://portal.izb.de/ihb/sparkasse-passau/Ma[已删除] https://portal.izb.de/ihb/sparkasse-passau/Main;se[已删除] https://portal1.izb.de/ihb/sparkasse-miltenberg-obernburg/M[已删除] https://portal1.izb.de/ihb/sparkasse-miltenberg-obernburg/Main;se[已删除] https://banking.postbank.de/app/legitimat[已删除] https://www.seb-banking.de/pt/defau[已删除] https://ebanking.spardaban[已删除]
F 窃取信用卡和储蓄卡信息发送到以下地址
http://217.159.217.222/ctrl/tn[已删除] http://217.159.217.222/ctrl/l2[已删除]
北京日月光华软件公司网站每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到12月25日的病毒库就可以完全查杀这些病毒。
