病毒预警:光华反病毒资讯(07月23日－07月29日) - 软件资讯 - 天空软件站 - 安全资讯

请选择入口：

首页

您的位置：资讯首页 -> 软件报道 -> 安全资讯 -> 病毒预警:光华反病毒资讯(07月23日－07月29日)

病毒预警:光华反病毒资讯(07月23日－07月29日)

作者：北京日月光华来源：天空软件站加入时间：2007-07-23

    光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站http://www.viruschina.com下载升级包，以下是几个重要病毒的简介：

    一、后门病毒：W32.Phoney.A 危害级别：★★★★☆

    根据光华反病毒研究中心专家介绍，该病毒长度 270,336 字节，感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000系统。它通过影射驱动器传播，减低系统安全设置。当收到、打开此病毒时，有以下危害：
    A 复制自身到以下文件 C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
    Win目录\Autorun.inf
    系统目录\web.exe
    Win目录\winxp.exe
    当前目录\[目录名].exe
    B 生成以下文件到所有影射驱动器根目录 AUTORUN.INF
    microsoft.exe
    C 创建以下注册表项
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    "Rontok" = "Explorer.exe "％Windir％\winxp.exe""
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    "Userinit" = "％System％\userinit.exe, ％Windir％\winxp.exe"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Bron"
    = "％Windir％\winxp.exe"
    使得病毒每次开机后自动执行
    D 修改以下注册表，减低系统安全设置
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
    Explorer\"NoFolderOptions" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
    System\"DisableRegistryTools" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
    System\"DisableTaskMgr" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\"Hidden" = "4"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\"HideFileExt" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\"ShowSuperHidden" = "0"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    Explorer\"NoClose" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    Explorer\"NoDesktop" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    Explorer\"Nofolderoptions" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    Network\"NoNetSetup" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    System\"DisableCMD" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    System\"DisableRegistryTools" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    System\"DisableTaskMgr" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    System\"NoDispCPL" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    WinOldApp\"Disable = "4"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\
    "Auto" = ""1""
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\
    "DisableConfig" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\
    "DisableSR" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
    "DisableMSI" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
    "LimitSystemRestoreCheckpointing" = "1"
    E 修改以下注册表，更改系统执行文件设置
    HKEY_CLASSES_ROOT\batfile\shell\open\command\"(Default Value)" =
    ""％System％\web.exe" "％1" ％*"
    HKEY_CLASSES_ROOT\comfile\shell\open\command\"(Default Value)" =
    ""％System％\web.exe" "％1" ％*"
    HKEY_CLASSES_ROOT\exefile\"(Default Value)" = "File Folder" =
    ""％System％\web.exe" "％1" ％*"
    HKEY_CLASSES_ROOT\lnkfile\shell\open\command\"(Default Value)" =
    ""％System％\web.exe" "％1" ％*"
    HKEY_CLASSES_ROOT\piffile\shell\open\command\"(Default Value)" =
    ""％System％\web.exe" "％1" ％*"
    F 修改以下注册表，使得病毒在安全模式下启动
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
    "AlternateShell" = "％System％\web.exe"
    G 在上午8点到晚上8点半之间，每半个小时启动一次计算机
    H 在以下时间 08:13:10 AM
    08:48:10 AM
    09:17:10 AM
    09:51:10 AM
    10:10:10 AM
    10:46:10 AM
    11:19:10 AM
    11:38:10 AM
    12:12:10 PM
    12:49:10 PM
    01:41:10 PM
    02:06:10 PM
    02:27:10 PM
    03:15:10 PM
    03:54:10 PM
    04:10:10 PM
    04:43:10 PM
    05:16:10 PM
    05:42:10 PM
    06:17:10 PM
    显示图片（假Norton）见图一

    I 关闭含有以下字符标题的窗口（多为杀毒软件）
    ANT
    ANTI
    ASM
    AVAST
    AVS
    BUG
    CLEANER
    CONF
    DBG
    DETEC
    ESSET
    Edit
    Editor
    Folder
    INSTALL
    KILL
    Local
    MCAFEE
    NOD32
    NORTON
    NTVDM
    OPEN
    Options
    PLAY
    PROC
    REG
    REM
    REMOV
    REST
    Registry
    SAVE
    SCAN
    SETUP
    Settings
    TASK
    UPDAT
    UPG
    VIR
    VIRUS
    W32
    WALK
    J 关闭以下类型的窗口 ComboBox
    ComboBoxEx32
    RebarWindow32

    光华反病毒软件已经对这种病毒进行了处理，请用户升级后，使用光华反病毒软件清除。

    二宏病毒 W97M.Mupps 危害级别：★★☆☆☆
    根据光华反病毒研究中心专家介绍，W97M.Mupps 是一个宏毒，感染 word 文件, 感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 系统。它生成后门连接到远程服务器，当收到邮件、打开附件时，主要有以下危害：

    A 下载生成文件 insert.doc - clean word document
    B 打开此文件，生成后门svdhost.exe
    C 连接到服务器
    160.149.157.132 通过 TCP 端口 443
    160.149.157.132 通过 TCP 端口 22
    160.149.157.132 通过 TCP 端口 80

    北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒
    的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到7月23日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.htm)就可以完全查杀这些病毒。

[1]

上一篇：金山将推U霸集成杀毒股市5大软件...

下一篇：病毒中心:新蠕虫Worm_AutoIt.C将...

发给好友