[watermark]原创:惊现U盘蠕虫,冒充瑞星“小雨伞”
来自安天实验室:
http://www.antiy.com/index.htm
前日,安天CERT截获一个可疑文件,经过详细分析最终确认为新的蠕虫,命名为Worm.Win32. RavMon。该病毒借助U盘等移动存储设备进行广泛传播,因此其能够在高校以及公司类的环境中任意横行。
感染该病毒后,打开存储设备明显变慢,并在所有驱动器下生成名为ravmone.exe或ravmonlog.exe.log的文件,文件长度为3,513,806 字节。当病毒运行后,会在%windir%\目录下生成RavMon.exe文件(文件名与瑞星实时监控程序一模一样),因此安天CERT小组将其命名为Worm.Win32.RavMon。
病毒随后修改注册表,添加启动项以达到随系统启动的目的。
该蠕虫尝试收集感染主机信息,包括主机名、系统版本等。如果系统为Windows XP,病毒会运行“netsh firewall delete portopening TCP”以删除防火墙端口配置协议中的传输控制协议,进而降低系统的安全性。
该蠕虫使用脚本语言编写,且经过加密处理。其具有网络行为,可以访问特点网址,发送获取到的系统信息;还能结束某些反病毒及安全类软件进程。
安天实验室在第一时间升级了病毒库,保证使用木马防线2005+的用户能够清除该病毒,不受该蠕虫的影响。
木马防线2005+下载地址:http://www.antiy.net/download/agb5p-cn.exe
据最新报告显示,现在网上已经出现该蠕虫的变种,安天实验室将持续关注该蠕虫的发展并及时作出响应。
[/watermark] |
