國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心經(jīng)過(guò)監(jiān)測(cè)發(fā)現(xiàn),我國(guó)近期又出現(xiàn)了“愛(ài)之門”和“貝革熱”病毒的新變種,提醒廣大計(jì)算機(jī)用戶注意防范。
“愛(ài)之門”病毒的新變種運(yùn)行后常駐內(nèi)存,并在windows文件夾、系統(tǒng)文件夾和C盤根目錄下生成多個(gè)自身拷貝。同時(shí)對(duì)注冊(cè)表進(jìn)行多處改動(dòng),修改.txt(文本文件)的關(guān)聯(lián),使得用戶在運(yùn)行.txt的時(shí)候,實(shí)際上是在運(yùn)行病毒。病毒可通過(guò)電子郵件進(jìn)行傳播,有可能以回復(fù)正常郵件的形式到達(dá),病毒還有可能將發(fā)信人的地址偽裝成hotmail、MSN、YAHOO、AOL等大公司的郵件地址。另外病毒可通過(guò)網(wǎng)絡(luò)共享進(jìn)行傳播。
“貝革熱”病毒在沉寂數(shù)日后,也出現(xiàn)了新的變種,提醒用戶對(duì)電子郵件的處理一定要謹(jǐn)慎,不確定的附件應(yīng)先對(duì)其進(jìn)行檢測(cè),確定無(wú)毒后方可運(yùn)行,同時(shí)要及時(shí)的升級(jí)殺毒軟件,并啟動(dòng)“實(shí)時(shí)監(jiān)控”和“郵件監(jiān)控”功能。
病毒名稱:“愛(ài)之門”病毒變種(Worm_Lovgate.AD) 病毒種類:蠕蟲(chóng)
感染系統(tǒng):Windows95/98/Me/NT/2000/XP 病毒特性:
1、生成病毒文件
病毒會(huì)將大量可執(zhí)行文件替換成病毒副本文件,并將原文件變?yōu)殡[含屬性且后綴名被改變。同時(shí)病毒會(huì)在被感染系統(tǒng)中生成多個(gè)自身拷貝和病毒文件。在%Windows%文件夾下生成:SVCHOST.EXE和SYSTRA.EXE。在ystem%文件夾下生成:HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盤根目錄下生成:AUTORUN.INF和COMMAND.EXE。
2、修改注冊(cè)表
病毒在注冊(cè)表中添加以下項(xiàng)目,使得自身能夠作為服務(wù)運(yùn)行:在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加SystemTra ="C:WindowsSysTra.EXE"COM++ System = "svchost.exe"
病毒在注冊(cè)表中添加以下項(xiàng)目,使得自身能夠隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行,在HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows下添加run = "RAVMOND.exe" WinHelp = "C:WindowsSystem32TkBellExe.exe" Hardware Profile = "C:WindowsSystem32hxdef.exe" VFW Encoder/Decoder Settings ="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" MicrosoftNetMeeting Associates, Inc. = "NetMeeting.exe"Program In Windows = "C:WindowsSystem32IEXPLORE.EXE" Shell Extension = "C:WindowsSystem32spollsv.exe" Protected Storage = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"
病毒修改以下注冊(cè)表項(xiàng)目,這樣一來(lái),用戶在運(yùn)行.txt文本文件的時(shí)候,實(shí)際上就是在運(yùn)行病毒拷貝:HKEY_CLASSES_ROOT xtfileshellopenmmand default ="Update_OB.exe %1"(原始數(shù)值為%SystemRootystem32NOTEPAD.EXE %1)HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopenmmand default = "Update_OB.exe %1"(原始數(shù)值為%SystemRootystem32NOTEPAD.EXE %1)
3、修改文件
病毒修改文件AUTORUN.INF[AUTORUN]Open="c:COMMAND.EXE"/StartExplorer
4、通過(guò)電子郵件進(jìn)行傳播
(1)病毒搜索系統(tǒng)郵箱,回復(fù)找到的電子郵件,并將病毒作為附件進(jìn)行傳播。
標(biāo)題:Re: <郵件原始主題>
附件:存在多種形式,擴(kuò)展名為.exe、.pif、.scrsong.MP3.pif
(2)病毒從下列擴(kuò)展名的文件中搜索郵件地址:ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB,并向這些地址發(fā)送帶毒的電子郵件。
病毒郵件特征如下:
發(fā)件人:
%病毒體內(nèi)選取的特定字符%.aol.com
%病毒體內(nèi)選取的特定字符tmail.com
%病毒體內(nèi)選取的特定字符%.msn.com
%病毒體內(nèi)選取的特定字符%.yahoo.com
標(biāo)題:<為下列之一> hi hello Mail Delivery System Mail Transaction Failed
內(nèi)容:<可變>
附件:
文件名為body、data、doc、document、file、message、readme、test、text或zge,擴(kuò)展名為BAT、EXE、PIF、SCR或ZIP。病毒會(huì)避免向含有特定字符串的郵件地址發(fā)送帶毒的電子郵件,這些字符串多與反病毒以及計(jì)算機(jī)安全相關(guān)。
5、通過(guò)網(wǎng)絡(luò)傳播
病毒會(huì)在Windows文件夾下創(chuàng)建一個(gè)名為"Media"的共享文件夾,并在其中生成自身的拷貝。病毒還會(huì)掃描本地網(wǎng)絡(luò)的計(jì)算機(jī),嘗試通過(guò)密碼探測(cè)進(jìn)入"Admin 共享進(jìn)行傳播,一旦登錄成功,病毒會(huì)在遠(yuǎn)程計(jì)算機(jī)的"AdminSystem32"文件夾中生成自身拷貝,名稱為"NETMANAGER.EXE"。(記者張建新)
來(lái)源:新華網(wǎng)