病毒预警:光华反病毒资讯(3月26日-4月1日)(图)光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站http://www.viruschina.com下载升级包,以下是几个重要病毒的简介: 一、W32病毒:W32.Mancsyn,危害级别:★★★★★ 根据光华反病毒研究中心专家介绍,这是一个 Win32 病毒,长度 23,552 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统。它通过DCOM远程执行漏洞传播,并下载执行其他有害程序。当收到、打开此病毒时,有以下危害: A 生成以下文件 C:\Documents and Settings\All Users\Start Menu\Programs\Startup\mmedia.exe C:\WINDOWS\system32\rasman32.exe C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe B 删除以下文件 C:\WINDOWS\system32\acrmon32.exe C:\WINDOWS\system32\acroup.exe C:\WINDOWS\system32\acroup32.exe C:\WINDOWS\system32\cvrss.exe C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Task Manager.exe C:\Documents and Settings\All Users\Start Menu\Programs\Startup\taskman.exe C 添加注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Default" = "C:\WINDOWS\system32\rasman32.exe[NULL CHARACTER FOLLOWED BY SEVERAL RANDOM BYTES]" 使得病毒每次开机后自动执行 D 创建注册表项 HKEY_CURRENT_USER\Software\cvc\"dl" = "[http://]dl01.bashchelik.com/dcv[已删除]" E 删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ATI HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Update HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Read F 创建系统信号量 mtx_cv_cv_v1.3 和 explthrmtx1_xx G 从以下地址下载更多文件 http://srv01.bashchelik.com/pcv[已删除] http://dl01.bashchelik.com/dcv[已删除] H 连接以下服务器 srv02.bashchelik.com srv01.debelizombi.com srv02.bashchelik.com srv01.debelizombi.com I 下载文件保存到 C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe 并执行 J 通过TCP的端口445,利用DCOM远程执行漏洞传播,参见 BID 8205 二 脚本病毒 VBS.Agui.A,危害级别:★★☆☆☆ 根据光华反病毒研究中心专家介绍,VBS.Agui.A 是一个脚本病毒,长度 198,600 字节,通过移动设备传播,它生成图片,修改VBS脚本的图标为 jpeg的图标。当收到、打开此病毒时,主要有以下危害: A 检查文件 %Windir%\SYSTEM32\OeApi.vbs 是否存在,否则创建 B 生成图片文件 %Windir%\SYSTEM32\Christina.jpg 并打开
|
|
热门文章
|
本周
|
本月
|
全部
|