光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、邮件病毒 W32.Stration.IZ@mm 危害级别:★☆☆☆☆
根据光华反病毒研究中心专家介绍,W32.Stration.IZ@mm 是一个邮件病毒,长度 79,092 字节,感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 系统。这个病毒通过邮件传播,下载执行其他病毒蠕虫。当收到、打开此病毒时,主要有以下危害:
A 生成以下文件到系统目录:
msstersv.dll
secumsje.exe
secumsje.dat
trafracp.dll
shfoxpob.exe
shfoxpob.dat
B 创建以下系统信号量,避免病毒多次驻留内存
89cd0a69-e389-42d1-a968-5ba7319db25b
5a6406d5-43cb-4d29-8377-df016be7c055
C 创建以下系统事件
MAAllowEvent
MAAllowEvent2
NISMailAllowEvent
NISAllowEvent2
NISAllowEvent
OPAllowEvent
OPAllowEvent2
SGAllowEvent2
SGAllowEvent
ZAAllowEvent2
ZAAllowEvent
D 创建注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"AppInit_DLLs" = "trafracp.dll"
E 创建注册表键值
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shfoxpob
HKLM\SOFTWARE\Microsoft\shfoxpob
F 修改以下注册表键值,关闭防火墙
HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs\ZoneAlaram
HKEY_LOCAL_MACHINE\SOFTWARE\Sygate Technologies, Inc.\Sygate Personal Firewall
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Internet Security
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps
HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum\Outpost Firewall
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Personal Firewall
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute
G 连接以下主机下载病毒蠕虫
http://ertikadeswiokinganfuja.com/chr/1021/e/[已删除]
http://81.95.149.235/scorp/file[已删除]
http://baserionkerjans.com/34.[已删除]
H 穿透防火墙发送消息给以下程序
ccapp.exe
firefox.exe
iexplore.exe
mpftray.exe
opera.exe
outpost.exe
services.exe
smc.exe
svchost.exe
zapro.exe
zlclient.exe
I 将自身打包到zip文件
J 连接到yahoo.com的SMTP端口25,收集邮件地址发送打包后的文件
二、W32病毒:W32.Popwin 危害级别:★★☆☆☆
根据光华反病毒研究中心专家介绍,W32.Popwin 是一个 W32 病毒,长度 19,747 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它通过U盘和移动硬盘传播,下载执行有害程序。当收到、打开此病毒时,有以下危害:
A 生成以下文件到系统目录
[8位随机16进制数字].EXE
[8位随机16进制数字].DLL
B 创建服务程序
名称:[8位随机16进制数字]
影像:%System%\[8位随机16进制数字].EXE -k
C 修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
D 插入 [8位随机16进制数字].DLL到系统所有进程中
E 复制自身到 U盘和移动硬盘,根目录为 rising.exe
F 生成文件autorun.inf到 U盘和移动硬盘根目录,内容为自动运行 rising.exe
G 连接到 http://www.s488.com/qs/updat[已删除]等待黑客
H 等待黑客指令,执行以下任务
升级自身
发送 MAC 地址机器名
显示广告
下载执行有害程序 |
您现在的位置: 