您的位置:首页 -> 资讯中心 -> 安全相关 -> 病毒预警:光华反病毒资讯(01月15日-01月21日)

病毒预警:光华反病毒资讯(01月15日-01月21日)


加入时间:2007-1-16 中国下载吧


    光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站http://www.viruschina.com下载升级包,以下是几个重要病毒的简介:
     
    一、邮件病毒:W32.Mytob.RD@mm 危害级别:★★★★☆
     
    根据光华反病毒研究中心专家介绍,这是一个邮件病毒,长度 38,400 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它将自身作为附件,通过邮件、mIRC和网络弱口令共享传播,当收到、打开感染此病毒的邮件附件时,有以下现象:
     
    A 复制自身到
    系统目录dllcache\cybershots.exe
    B 增加注册表项
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Passport Network CyberShots
    注册 Microsoft Passport Network CyberShots
    C 创建服务
    名称: Microsoft Passport Network CyberShots
    影像位置: %System%\dllcache\cybershots.exe
    使得病毒每次开机后自动执行
    D 增加注册表
    "C:\WINDOWS\system32\dllcache\cybershots.exe" = "C:\WINDOWS\system32\dllcache\cybershots.exe:*:Enabled:Microsoft Passport Network CyberShots"
    到 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
    AuthorizedApplications\List
    使得病毒穿透防火墙
    E 修改以下文件,修改windows连接限制
    %System%\dllcache\tcpip.sys
    %System%\drivers\tcpip.sys
    F 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole 的键值
    "EnableDCOM" = "N"
    G 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 的键值
    "LMCompatibilityLevel" = "1"
    "restrictanonymous" = "1"
    H 结束含有以下字符串的进程
    Ad-aware
    anti
    avg
    avp
    blackice
    f-pro
    firewall
    hijack
    kav
    lockdown
    mcafee
    nod32
    norton
    reged
    spybot
    spyware
    troja
    viru
    vsmon
    Windows-2000
    Windows-XP
    WindowsServer2003
    zonea
    I 结束以下服务
    Norton AntiVirus Auto Protect Service
    Mcshield
    Panda Antivirus
    J 打开后门,连接IRC服务器 cyber-shot.hottest.es 的 TCP 端口4915 ,等待黑客以下命令
    执行 SYN, UDP 和 HTTP 拒绝服务攻击
    扫描 IP 地址,搜索计算机用于攻击
    下载执行远程病毒文件
    记录键盘输入
    远程执行命令外壳,允许黑客执行任意命令
    启动 SOCKS4 代理服务
    K 窃取含有以下关键字的口令和内容
    Bank
    Wells Fargo
    eBay
    e-gold
    iKobo
    PayPal
    StormPay
    WorldPay
    Western Union
    L 通过网络弱口令共享传播
    用户名
    0
    00
    000
    0000
    00000
    000000
    0000000
    00000000
    1
    12
    123
    1234
    12345
    123456
    1234567
    12345678
    123456789
    admin
    asdfgh
    root
    secret
    secure
    security
    server
    口令 
    abc
    abc123
    access
    adm
    alpha
    anon
    anonymous
    backdoor
    backup
    beta
    bin
    coffee
    computer
    crew
    database
    debug
    default
    demo
    free
    go
    guest
    hello
    install
    internet
    login
    mail
    manager
    money
    monitor
    network
    new
    newpass
    nick
    nobody
    nopass
    one
    oracle
    pass
    passwd
    password
    poiuytre
    private
    pub
    public
    qwerty
    random
    real
    remote
    ruler
    setup
    shadow
    shit
    sql
    super
    sys
    system
    telnet
    temp
    test
    test1
    test2
    visitor
    web
    windows
    www
     
    M 通过以下聊天工具,发送指向病毒的URL消息传播
    MSN
    Yahoo! Messenger
    AOL Instant Messenger
    ICQ IM
    N 将自身作为附件,通过以下邮件传播
    主题(以下之一):
    Re: Thank you
    Re: Details
    You have 1 day left
    hey remember me?
     
    内容(以下之一):
    Take it, and mail me back to tell what you think about it!
    Something about you
    Information about you
    Details are in the attached document. You need Microsoft Office to open it.
    just look it
     
    附件(以下之一):
    document.rar
    logfile.rar
    maildocument.rar
    picture_pack.rar
    zipfile.rar
    document.doc
    maildocument.doc
    my_picture.jpg
    picture2393.jpg
    log.txt
     
     
    二 木马病毒 Trojan.Schoeberl.E 危害级别:★★★★☆
     
    根据光华反病毒研究中心专家介绍,这是一个木马病毒,长度 12,168 或 23,040 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个病毒降低安全设置,下载执行远程病毒文件(Infostealer.Bzup)。当含有病毒的文件被打开时,有以下现象:
     
    A 复制自身到系统目录的[随即名称].exe
    设置文件属性为只读隐藏
    B 增加键值"dwlcounter" = "[HEXADECIMAL NUMBER]"到
    HKEY_CURRENT_USER\Software\ODBC
    使得病毒每次开机后自动执行
    C 显示信息
    D 增加键值"WinUpdate" = "%System%\[RANDOM NAME].exe"到
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_CURRENT_USER\Software\Microsoft\OLE
    HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    使得病毒每次开机后自动执行
    E 试图连接以下地址下载文件
    http://www.marketing-know-how.com/bookreview/inc/tss
    http://www.blingblingventures.com/snake1/uploads/avatars/how
    http://www.ronindesigns.net/images/cars/t
    http://www.alexkabobhouse.com/images/s
    http://testing-one-two.com/editor/edi
    http://66.235.203.21/~academic/img/hor
    http://deja-rue.com/mypix/Pictu
    http://66.235.203.21/~academic/img/horr
    http://www.marketing-know-how.com/bookreview/inc/tss
    http://www.blingblingventures.com/snake1/uploads/avatars/stat
    http://www.ronindesigns.net/images/cars/t
    http://www.alexkabobhouse.com/images/stat
    http://testing-one-two.com/editor/ed
    http://deja-rue.com/mypix/Pictu
    F 复制下载的文件到临时目录的[随机名字].exe (病毒Infostealer.Bzup)
    G 生成文件 系统目录\ipv6monl.dll
    H 降低设置
    I 修改防火墙设置
    J 发送以下邮件传播
    主题:1&1 Internet AG - Ihre Rechnung [数字]
    内容:
    Sehr geehrter 1&1 Kunde,
     
    anbei erhalten Sie Ihre Rechnung vom 31.12.2006.
    die Gesamtsumme für Ih [REMOVED] Fragen an den 1&1 Support haben, verwenden Sie bitte das Kontaktformular unter www.1und1.de/c[REMOVED] ]
     
    附件:
    Rechnung.pdf.exe
     
    北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到1月15日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.htm)就可以完全查杀这些病毒。
热门文章
本周
本月
全部