病毒无孔不入 光华反病毒本周病毒预警

2006-10-30 15:30:27　来源:CNET中国·ZOL　作者:中关村在线 王允 点击:

---

    光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介：

        一、邮件病毒：W32.Stration.DH@mm 危害级别：★★★★☆

        根据光华反病毒研究中心专家介绍，这是一个邮件病毒，长度 24,580 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，它通过邮件传播，下载运行其他病毒。当收到、打开含有病毒的邮件后，有以下现象:

        A 显示信息（见图1）

        B 增加键值 "PendingFileRenameOperations" = "[病毒所在路径]"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

        C 从 http://www6.fandesjinkderunha.com/chr/831/nt[已删除] 和 http://www4.fandesjinkderunha.com/chr/831/lt[已删除] 下载运行其他病毒

         E 增加键值"mswiiz32" = "%Windir%\mswiiz32.exe s"
到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒开机后自动执行。

        F 增加键值"AppInit_DLLs" = "e1.dll"
到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
使得病毒在启动程序时自动执行。

        G 修改 HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings 的键值 "ProxyBypass" = "1"
"IntranetNames" = "1"
"UNCAIntranet" = "1"
"MigrateProxy" = "1"
"ProxyEnable" = "1"
改变 IE 设置。

        H 删除以下键值
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyServer
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyOverride
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\AutoConfigURL。

        I 收集邮件地址。

        J 发送病毒自身到收集到的地址。

邮件特征如下

        主题(以下之一)
Good Day
Server Report
hello
picture
Status
test
Error
Mail Delivery System
Mail server report
Mail Transaction Failed

        内容(以下之一)
Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from [REMOVED] updates for worm elimination and your computer restoring.
Best regards,
Customers support service
The message contains Unicode characters and has been sentas a binary attachment.
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment

        附件(以下之一)
body
data
doc
docs
document
file
message
readme
test
text
Update-KB[随机数字]-x86

        附件扩展名(以下之一)
.log
.elm
.msg
.txt
.dat

        很多空格后第二扩展名(以下之一)
.bat
.cmd
.scr
.exe
.pif

        K 发送信息至以下地址
http://www3.fandesjinkderunha.com/cgi-bin/pr[已删除]
http://traferreg.com/chr/831/[已删除]
http://www2.ertinmdesachlion.com/cgi-bin/[已删除]。

 

·IE新漏洞扫描

二 IE 7 病毒 Bloodhound.Exploit.f 危害级别：★★★★☆

    根据光华反病毒研究中心专家介绍，这是一个 IE 7 病毒，长度可变，感染 Windows 2000, Windows Server 2003, Windows XP 系统，它利用 IE 7 弹出地址栏欺骗漏洞，冒充官方网站。当含有病毒的网页被打开时，有以下现象:

    A 在电子商务最后支付时，弹出新的网页

    B 欺骗用户输入信用卡号或银行卡号和密码(这时的地址栏显示的是银行官方网址)

    C 显示密码错误，提示重新输入

    D 点击重新输入，刷新到官方网址正确网址

    E 用户重新输入，支付正常执行

    F 将收集到的信息发送给指定黑客
 
    建议用户在支付时开启光华反病毒软件的网页监视功能。没有开启光华反病毒网页监视功能的用户，在微软没有更新补丁前尽量不要使用IE7进行网上支付。

    北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到10月30日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。