病毒预报 (2003.6.1- 2003.6.7)
病毒名称:“爱之门”(Worm_Lovgate.J)
病毒类型:蠕虫
病毒系统:Windows 95/98/Me/NT/2000/XP
病毒特征:
该病毒可以通过电子邮件和网络中的共享文件夹进行传播。
1、通过局域网进行传播
当通过过共享文件夹进行时传播,病毒在局域网内找到具有读写权限的共享文件夹,并将自身复制到该文件夹中,生成以下列名称命名的病毒文件,其大小为105k,属性为隐藏:
100 free essays school.pif
Age of empires 2 crack.exe
AN-YOU-SUCK-IT.txt.pif
Are you looking for Love.doc.exe
autoexec.bat
CloneCD + crack.exe
How To Hack Websites.exe
Mafia Trainer!!!.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Panda Titanium Crack.zip.exe
Sex_For_You_Life.JPG.pif
SIMS FullDownloader.zip.exe
Star Wars II Movie Full Downloader.exe
The world of lovers.txt.exe
Winrar + crack.exe
2、 通过邮件进行传播
在通过电子邮件进行传播时,病毒会自动回复Outlook和Outlook Express中新收到的所有电子邮件。病毒还会被感染的计算机内搜索电子邮件地址,并把病毒以附件的形式发送给这些地址。从邮件的主题、内容和附件都不是固定的,而是从病毒代码中随机选取的。
3、 生成病毒文件
病毒运行后会在系统目录下生成病毒文件,IEXPLORE.EXE、RAVMOND.EXE、WinDriver.EXE、WINGATE.EXE、WINHELP.EXE、WINRPC.EXE,其大小为105k,属性为隐藏。并生成ILY668.DLL、 KERNEL66.DLL、REG678.DLL、TASK688.DLL,其大小为80k,属性为隐藏。
4、 修改注册表
病毒对注册表进行修改,使得在下次系统启动时,病毒可随之自动运行
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建
WinHelp="C:\WINNT\System32\WinHelp.exe"
WinGate initialize="C:\WINNT\System32\WinGate.exe -remoteshell"
Program In Windows="C:\WINNT\System32\IEXPLORE.EXE"
Remote Procedure Call Locator="RUNDLL32.EXE reg678.dll ondll_reg"
在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
\Windows下创建
Run = "RAVMOND.exe"
病毒修改注册表中.txt文件的关联,使得打开.txt文件时运行病毒程序
HKEY_CLASSES_ROOT\txtfile\shell\open\command
Default = "winrpc.exe %1"
5、 后门
病毒同时具有后门程序的功能,运行后会开启连接端口,允许远程使用者在受感染的系统上执行命令,连接成功后,病毒会通知远程使用者,被感染的系统已经联机并允许进行存取操作了。
三、 解决方案
清除改病毒的一些相关操作:
1、终止病毒进程
在Windows 95/98/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的进程病毒程序,并终止其运行,然后关闭“任务管理器”。
2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器
(1)删除病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建的注册表键值
(2)删除病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建的注册表键值
(3)将病毒在HKEY_CLASSES_ROOT\txtfile\shell\open\command下进行的修改 "winrpc.exe %1"更改为" NOTEPAD.EXE %1"
修改完毕后关闭注册表编辑器
3、完成上述工作后重新启动计算机,对系统进行全面的病毒检测和清除。
本周发作:
病毒名称:W97M_Makelove
病毒类型:宏病毒
发作日期:6月5日
危害程度:5日,病毒在重要系统文件C:\autoexec.bat中写入deltree -y C:\*.*。下次开机删除C:盘下所有的目录及数据文件,用户无法启动Windows系统。造成电脑启动障碍。
病毒名称:“求职信”变种(Worm_Klez.E)
病毒类型:电子邮件蠕虫病毒
发作日期:6月6日
危害程度:病毒向外发送带毒邮件,病毒发作后会感染电脑中的.doc(Word文档)和.xls(Excel文档),且遭受感染文档和数据都将无法恢复。同时终止反病毒软件的运行,并将其从电脑中删除。
病毒名称:欢乐时光(Vba_Happytime.A)
病毒类型:脚本语言病毒
发作日期:6月7日
危害程度:病毒向外发送带毒邮件,并在该日删除硬盘中的.exe和.dll文件。
专家提醒:
1、近期通过邮件传播的病毒仍呈上升趋势,如“老板公司”及其变种,“爱之门”及其变种以及“菲滋”等病毒,这些病毒邮件大都带有附件,有些病毒的发件人等具有明显的特征,请用户留意这些病毒的特征,并谨慎收取电子邮件,遇到有问题的邮件请及时删除。
2、现在不少病毒都带有黑客功能,有些还能进行一些简单的密码猜测,所以用户的密码应当设置的相对复杂,这样一来,被破译的可能性就相对较低。另外,在遭受了此类病毒或黑客的入侵以后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除病毒的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。
|
