病毒预警:光华反病毒资讯(04月16日-04月22日)光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站http://www.viruschina.com下载升级包,以下是几个重要病毒的简介: 一、W32病毒:W32.Corerink.A 危害级别:★★☆☆☆ 根据光华反病毒研究中心专家介绍,这是一个 W32 病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它试图破解网络共享弱口令,感染可执行文件,终止安全程序,并删除有关文件。当收到、打开此病毒时,有以下危害: A 生成以下文件 Windows目录linkinfo.dll 系统目录driversRioDrvs.sys 系统目录driversDKIS6.sys B 生成注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRioDrvs 用于创建服务 C 创建以下特性的服务 名称 RioDrvs Usb Driver 影像位置 %System%driversRioDrvs.sys D 删除以下文件 系统目录dllcachelinkinfo.dll 系统目录system32linkinfo.dll E 创建系统信号量 __DL_CORE_MUTEX__ 避免病毒重复运行 F 终止以下安全程序,并删除有关文件 realschd.exe cmdbcs.exe wsvbs.exe msdccrt.exe run1132.exe sysload3.exe tempicon.exe sysbmw.exe rpcs.exe msvce32.exe rundl132.exe svhost32.exe smss.exe lsass.exe internat.exe explorer.exe ctmontv.exe iexplore.exe ncscv32.exe spo0lsv.exe wdfmgr32.exe upxdnd.exe ssopure.exe iexpl0re.exe c0nime.exe svch0st.exe nvscv32.exe spoclsv.exe fuckjacks.exe logo_1.exe logo1_.exe lying.exe sxs.exe G 避免终止含有以下字符的程序 windows winnt com system program files H 病毒注入 Iexplore.exe 进程,隐藏自身 I 感染找到的可执行文件,并避免感染以下文件 wooolcfg.exe woool.exe ztconfig.exe patchupdate.exe trojankiller.exe xy2player.exe flyff.exe xy2.exe .exe au_unins_web.exe cabal.exe cabalmain9x.exe cabalmain.exe meteor.exe patcher.exe mjonline.exe config.exe zuonline.exe userpic.exe main.exe dk2.exe autoupdate.exe dbfsupdate.exe asktao.exe sealspeed.exe xlqy2.exe game.exe wb-service.exe nbt-dragonraja2006.exe dragonraja.exe mhclient-connect.exe hs.exe mts.exe gc.exe zfs.exe neuz.exe maplestory.exe nsstarter.exe nmcosrv.exe ca.exe nmservice.exe kartrider.exe audition.exe zhengtu.exe zxcv J 试图使用以下弱口令破解网络共享 qazwsx qaz qwer !@#$%^&() !@#$%^&( !@#$%^& !@#$%^& !@#$%^ !@#$% asdfgh asdf !@#$ 654321 123456 12345 1234 123 111 1 admin K 一旦破解,病毒复制文件到 C$Ins.exe 并且使用以下特性的服务来启动程序 服务名 DLAN 显示名 DLAN L 连接以下网址通知黑客被破解的计算机 httptj.imrw0rldwide.comco.aspaction=post&HD=[data]&OT=[data]&IV=[data]&AV=[data] M 连接以下网址接受配置信息 httpsoft.imrw0rldwide.comz.dat 二 木马病毒 Trojan.Peacomm.B 危害级别:★☆☆☆☆ 根据光华反病毒研究中心专家介绍, Trojan.Peacomm.B 是一个木马病毒,长度 91,849 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个木马生成 rootkit 驱动程序传播病毒,下载其他恶意程序。当收到、打开此病毒时,主要有以下危害: A 检查虚拟机 VMWare VirtualPC 是否启动,如启动则关闭 B 生成系统信号量 A8dK894Lm9#F2i$s0Bq2X 避免病毒被多次执行 C 生成文件 系统目录windev-[随机4个数字]-[随机4个数字].sys 系统目录windev-peers.ini D 生成注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindev-[随机4个数字]-[随机4个数字] 用于创建服务 E 创建以下特性的服务 名称 windev-[随机4个数字]-[随机4个数字] 影像位置 %System%driverswindev-[随机4个数字]-[随机4个数字].sys F 挂接以下API保护病毒自身 NtQueryDirectoryFile NtEnumerateKey NtEnumerateValueKey G 挂接 TCPIP 进行监破坏 H 搜索SERVICES.EXE 进程,注入并隐藏 I 生成加密监听列表文件windev-peers.ini J 打开 UDP 端口 7871 和 8815,等待加密通信 K 通过点对点协议传播病毒,下载执行其他恶意程序 L 收集计算机信息 M 关闭Windows自带防火墙 N 搜索以下扩展名文件中的邮件地址 .adb .asp .cfg .cgi .dat .dbx .dhtm .eml .htm .jsp .lst .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml O 发送垃圾邮件到搜集到的邮件地址 P 避免发送到含有以下字符的地址 @avp. @foo @iana @messagelab @microsoft abuse admin anyone@ bsd bugs@ cafee certific contract@ f-secur feste free-av gold-certs@ help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip Q 将注册表值HKEY_LOCAL_MACHINEMicrosoftWindowsITStorageFindersconfig = [P2P NETWORK UNIQUE ID] 的内容写入文件:系统目录windev-peers.ini R 防火墙被关闭后,从 http://66.228.117.195 下载执行文件 北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到4月16日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.htm)就可以完全查杀这些病毒。
|
|
热门文章
|
本周
|
本月
|
全部
|