黑色海岸线论坛 - Powered by Discuz! Board

标题: [转帖]谨防最新蠕虫Email-Worm.Win32.Eyeveg.i [打印本页]

作者: hao123 时间: 2006-6-8 12:03 标题: [转帖]谨防最新蠕虫Email-Worm.Win32.Eyeveg.i

转帖:谨防最新蠕虫Email-Worm.Win32.Eyeveg.i 来自安天实验室： http://www.antiy.com/index.htm 内容：　本周提醒广大用户注意最新蠕虫Email-Worm.Win32.Eyeveg.i，该病毒主要通过邮件传播，病毒运行后复制原病毒文件到%system%文件夹下并释放一个名为fccmugvl.dll的相关文件。病毒还会记录用户的键盘输入，并搜集感染主机的敏感信息发个恶意者。病毒还会尝试从网络上下载病毒相关文件到本地运行。 1、病毒运行后释放以下文件：病毒文件 %system%\fccmugvl.dll %system%\song.zip %system%\.exe 对应病毒名 Email-Worm.Win32.Eyeveg.f Email-Worm.Win32.Eyeveg.i Email-Worm.Win32.Eyeveg.i 2、修改注册表文件： HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID \{84695FD5-A8A8-11D8-978E-005022E14DE2}\InprocServer32\@ 键值: 字串: "C:\WINNT\System32\fccmugvl.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib \{84695FC8-A8A8-11D8-978E-005022E14DE2}\1.0\0\win32\@ 键值: 字串: "C:\WINNT\System32\fccmugvl.dll" 添加的启动项值随机，如： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run\nvvojg 键值: 字串: "nvvojg.exe" 3、病毒运行后通过查找以下扩展名的文件来获取邮件地址，而后通过自带的SMTP引擎发送含有病毒附件的邮件： dbx tbb eml mbx htm asp sht 4、当找到含有以下字符串的邮件地址时将不会发送： admin abuse hostmaster localdomain localhost messagelab microsoft noreplysymantecmcafee postmaster report recipients root spam trendmicro webmaster 5、其中，病毒邮件的主题可能为： details image girls love music message news photo pic resume readme song video 6、病毒邮件的附件为双扩展名，两扩展名之间有许多空格： screensaver.scr<　　　　　　　　>.scr song.wav<　　　　　　　　　　　 >.scr music.mp3<　　　　　　　　　　　>.scr video.avi<　　　　　　　　　　　>.scr photo.jpg<　　　　　　　　　　　>.scr girls.jpg<　　　　　　　　　　　>.scr pic.jpg< 　　　　　　　　　　 >.scr message.txt< 　　　　　　　　　 >.scr image.jpg<　　　　　　　　　　　>.scr news.doc< 　　　　　　　　　　　>.scr details.doc< 　　　　　　　　　 >.scr resume.doc<　　　　　　　　　　 >.scr love.jpg<　　　　　　　　　　　 >.scr readme.txt<　　　　　　　　　　 >.scr 附：安天木马防线2005+试用版下载地址: http://www.antiy.com/product/ghostbusters/index.htm 病毒上报信箱: submit@virusview.net

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)