病毒预警:光华反病毒资讯(07月23日-07月29日)
出处:天空软件站作者:北京日月光华日期:2007-07-23
光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站http://www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、后门病毒:W32.Phoney.A 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,该病毒长度 270,336 字节,感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000系统。它通过影射驱动器传播,减低系统安全设置。当收到、打开此病毒时,有以下危害:
A 复制自身到以下文件 C:Documents and SettingsAll UsersStart MenuProgramsStartupEmpty.pif
Win目录Autorun.inf
系统目录web.exe
Win目录winxp.exe
当前目录[目录名].exe
B 生成以下文件到所有影射驱动器根目录 AUTORUN.INF
microsoft.exe
C 创建以下注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
"Rontok" = "Explorer.exe "%Windir%winxp.exe""
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
"Userinit" = "%System%userinit.exe, %Windir%winxp.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"Bron"
= "%Windir%winxp.exe"
使得病毒每次开机后自动执行
D 修改以下注册表,减低系统安全设置
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies
Explorer"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies
System"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies
System"DisableTaskMgr" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
Advanced"Hidden" = "4"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
Advanced"HideFileExt" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
Advanced"ShowSuperHidden" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
Explorer"NoClose" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
Explorer"NoDesktop" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
Explorer"Nofolderoptions" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
Network"NoNetSetup" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
System"DisableCMD" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
System"DisableRegistryTools" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
System"DisableTaskMgr" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
System"NoDispCPL" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
WinOldApp"Disable = "4"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionAeDebug
"Auto" = ""1""
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore
"DisableConfig" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore
"DisableSR" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller
"DisableMSI" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller
"LimitSystemRestoreCheckpointing" = "1"
E 修改以下注册表,更改系统执行文件设置
HKEY_CLASSES_ROOTbatfileshellopencommand"(Default Value)" =
""%System%web.exe" "%1" %*"
HKEY_CLASSES_ROOTcomfileshellopencommand"(Default Value)" =
""%System%web.exe" "%1" %*"
HKEY_CLASSES_ROOTexefile"(Default Value)" = "File Folder" =
""%System%web.exe" "%1" %*"
HKEY_CLASSES_ROOTlnkfileshellopencommand"(Default Value)" =
""%System%web.exe" "%1" %*"
HKEY_CLASSES_ROOTpiffileshellopencommand"(Default Value)" =
""%System%web.exe" "%1" %*"
F 修改以下注册表,使得病毒在安全模式下启动
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
"AlternateShell" = "%System%web.exe"
G 在上午8点到晚上8点半之间,每半个小时启动一次计算机
H 在以下时间 08:13:10 AM
08:48:10 AM
09:17:10 AM
09:51:10 AM
10:10:10 AM
10:46:10 AM
11:19:10 AM
11:38:10 AM
12:12:10 PM
12:49:10 PM
01:41:10 PM
02:06:10 PM
02:27:10 PM
03:15:10 PM
03:54:10 PM
04:10:10 PM
04:43:10 PM
05:16:10 PM
05:42:10 PM
06:17:10 PM
显示图片(假Norton)见图一
I 关闭含有以下字符标题的窗口(多为杀毒软件)
ANT
ANTI
ASM
AVAST
AVS
BUG
CLEANER
CONF
DBG
DETEC
ESSET
Edit
Editor
Folder
INSTALL
KILL
Local
MCAFEE
NOD32
NORTON
NTVDM
OPEN
Options
PLAY
PROC
REG
REM
REMOV
REST
Registry
SAVE
SCAN
SETUP
Settings
TASK
UPDAT
UPG
VIR
VIRUS
W32
WALK
J 关闭以下类型的窗口 ComboBox
ComboBoxEx32
RebarWindow32
光华反病毒软件已经对这种病毒进行了处理,请用户升级后,使用光华反病毒软件清除。
二 宏病毒 W97M.Mupps 危害级别:★★☆☆☆
根据光华反病毒研究中心专家介绍,W97M.Mupps 是一个宏毒,感染 word 文件, 感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 系统。它生成后门连接到远程服务器,当收到邮件、打开附件时,主要有以下危害:
A 下载生成文件 insert.doc - clean word document
B 打开此文件,生成后门svdhost.exe
C 连接到服务器
160.149.157.132 通过 TCP 端口 443
160.149.157.132 通过 TCP 端口 22
160.149.157.132 通过 TCP 端口 80
北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒
的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到7月23日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.htm)就可以完全查杀这些病毒。
上一页1下一页
