频道直达 - 专题 - 新闻 - 技巧 - 组网 - 开发 - 安全 - web编程 - 图像 - 操作系统 - 数据库 - 教育 - 旅游 - 健康 - 时尚 - 驱动 - 软件 - 游戏 - 多媒体 - ERP - 讨论组
阅读排行榜 | 收藏此文 | 收藏本站 | 设为首页

预警:光华反病毒资讯(01月08日-14日)

来源:光华 作者: 出处:巧巧读书 2007-01-10 进入讨论组

    光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:

    一、W32病毒:W32.Spybot.ANJJ 危害级别:★★★★☆

    根据光华反病毒研究中心专家介绍,这是一个W32病毒,长度 73,154 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它利用系统漏洞,通过破解网络共享弱口令和mIRC传播。当收到、打开感染此病毒时,有以下现象:

A 复制自身到
  Windows目录\mshelpdsk.exe
B 增加注册表键值  "Microsoft Helpdesk Side"="mshelpdsk.exe"  到
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  HKEY_CURRENT_USER\Software\Microsoft\OLE
  使得病毒每次开机后自动执行
C 创建文件c:\symantc.exe
  和 Windows目录\SMonitor.sys
D 插入c:\symantc.exe到rookit组件,隐藏病毒进程,删除rookit组件
E 创建服务 SMonitor 加载 SMonitor.sys
F 打开后门连接到IRC服务器livepm.hanashteam.com的TCP端口2211
G 供黑客进行以下操作
  复制删除文件
  下载文件
  显示状态
  显示 IP 地址
  对本地网络中的所有计算机进行端口扫描
  扫描漏洞
  启动 ftpd
  启动 IE
  结束进程
  停止其他蠕虫
  停止安全服务
  列出进程
  进行网络嗅探
H 利用以下漏洞破坏和传播
  分布式组件接口缓冲区溢出 MS03-026 参见 http://www.microsoft.com/technethttp://security.chinaitlab.com/bulletin/MS03-026.mspx
  ASN.1库多重堆栈溢出漏洞  MS04-007 参见 http://www.microsoft.com/technethttp://security.chinaitlab.com/bulletin/MS04-007.mspx
  Microsoft Security Bulletin MS04-011 参见 http://www.microsoft.com/technethttp://security.chinaitlab.com/bulletin/ms04-011.mspx
  CVE-2006-2369 参见 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2369 
  Symantec Advisory SYM06-010 参见 http://securityresponse.symantec.com/avcenterhttp://security.chinaitlab.com/Content/2006.05.25.html
   Microsoft Security Bulletin MS02-061 参见 http://www.microsoft.com/technethttp://security.chinaitlab.com/bulletin/MS02-061.mspx
I 试图通过IRC和网络共享弱口令传播

    二  邮件病毒 W32.Lokkest.A@mm 危害级别:★★★★☆

    根据光华反病毒研究中心专家介绍,这是一个邮件病毒,长度 181,194 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个病毒被黑客用来窃取信用卡和储蓄卡信息,当含有病毒的邮件附件被打开时,有以下现象:

A 在系统目录下创建文件 dllcache\mutex.exe
B 创建注册表项
 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_MUTEX_OBJECT
 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Mutex Object
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MUTEX_OBJECT
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Mutex Object
C 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  的 "restrictanonymous" = "1"  禁止空枚举
D 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
  的 "EnableDCOM" = "N"  禁止DCOM
E 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  的 "lmcompatibilitylevel" = "1"
F 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
  的 "Start" = "4"
G 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
  的 "Start" = "4"
H 创建服务 Windows Mutex Object
I 收集以下扩展名文件中的邮件地址
 .jsp
 .php
 .txt
 .asp
 .shtm
 .htm
J 使用自带的邮件引擎将病毒自身作为附件发送给收集到的地址,邮件特征为
  主题(以下之一)
  hey remember me?
  You have 1 day left
  Re: Details
  Your IP was logged
  Re: Thank you

  内容(以下之一)
  just look it
  Details are in the attached document. You need Microsoft Office to open it.
  Information about you
  Something about you
  Take it, and mail me back to tell what you think about it!

  附件名(以下之一,带有.scr的第二扩展名)
  picture2393.jpg
  maildocument.doc
  document.doc
  log.txt
  my_picture.jpg
  picture_pack.rar
  maildocument.rar
  document.rar
  logfile.rar
  zipfile.rar
K 通过以下聊天工具传播
  雅虎通
  MSN
  AOL
  ICQ
L 通过SQL和网络共享弱口令漏洞传播
  Symantec Advisory SYM06-010 见 http://securityresponse.symantec.com/avcenterhttp://security.chinaitlab.com/Content/2006.05.25.html
  Bugtraq ID 17978 见 http://www.securityfocus.com/bid/17978
  Microsoft Security Bulletin MS06-040 见 http://www.microsoft.com/technethttp://security.chinaitlab.com/Bulletin/MS06-040.mspx
  Microsoft Security Bulletin MS04-007 见 http://www.microsoft.com/technethttp://security.chinaitlab.com/bulletin/MS04-007.mspx
M 停止以下服务
  Panda Antivirus
  Norton AntiVirus Auto Protect Service
  Mcshield
N 关闭含有以下字样的窗口
 Ad-aware
 spyware
 hijack
 kav
 norton
 mcafee
 f-pro
 lockdown
 firewall
 blackice
 avg
 vsmon
 zonea
 spybot
 nod32
 reged
 avp
 troja
 viru
 anti
O 连接 IRC 服务器 link.hottest.es 等待黑客访问和执行以下命令
  记录键盘操作
  记录网络操作
  下载执行文件
  作为代理服务器
  获得MSN口令
P 修改以下文件
  TCPIP.SYS
  dllcache\TCPIP.SYS
  ServicePackFiles\i386\TCPIP.SYS

    北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到1月8日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。

请保留地址 http://www.qqread.com/news/e292464.html 更多文章 更多内容请看QQ病毒手机病毒揭密病毒专栏专题,或进入讨论组讨论。
更多专题 【深 度 阅 读】 相 关 文 章
收藏此文】【 】【打印】【关闭
较早的文章:微软将推出07年首个月度补丁包:一共八个

较新的文章:QQ木马TSPY_QQPASS变种破千
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
巧巧读书宗旨
相关专题
更多排行>>
讨论组问题推荐
站内各频道最新更新文档
站内最新制作专题
热门关键字导读
Photoshop教 程照片处理 照片制作 PS快捷键 抠图
计 算 机 故 障XP系统修复
艺 术 与 设 计设计 流媒体 设计欣赏 边框
计 算 机 安 全ARP
站内频道文章精选
新闻资讯
操作系统
桌面开发
数据库
电脑技巧
常用软件
网络程序开发
图像处理
巧巧电脑频道编辑信箱  告诉我们您想看的专题或文章