扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、W32病毒:W32.Mancsyn,危害级别:★★★★★
根据光华反病毒研究中心专家介绍,这是一个 Win32 病毒,长度 23,552 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统。它通过DCOM远程执行漏洞传播,并下载执行其他有害程序。当收到、打开此病毒时,有以下危害:
A 生成以下文件
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\mmedia.exe
C:\WINDOWS\system32\rasman32.exe
C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe
B 删除以下文件
C:\WINDOWS\system32\acrmon32.exe
C:\WINDOWS\system32\acroup.exe
C:\WINDOWS\system32\acroup32.exe
C:\WINDOWS\system32\cvrss.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Task Manager.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\taskman.exe
C 添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Default" = "C:\WINDOWS\system32\rasman32.exe[NULL CHARACTER FOLLOWED BY SEVERAL RANDOM BYTES]"
使得病毒每次开机后自动执行
D 创建注册表项
HKEY_CURRENT_USER\Software\cvc\"dl" = "[http://]dl01.bashchelik.com/dcv[已删除]"
E 删除注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ATI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Read
F 创建系统信号量 mtx_cv_cv_v1.3
和 explthrmtx1_xx
G 从以下地址下载更多文件
http://srv01.bashchelik.com/pcv[已删除]
http://dl01.bashchelik.com/dcv[已删除]
H 连接以下服务器 srv02.bashchelik.com
srv01.debelizombi.com
srv02.bashchelik.com
srv01.debelizombi.com
I 下载文件保存到 C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe
并执行
J 通过TCP的端口445,利用DCOM远程执行漏洞传播,参见 BID 8205
二 脚本病毒 VBS.Agui.A,危害级别:★★☆☆☆
根据光华反病毒研究中心专家介绍,VBS.Agui.A 是一个脚本病毒,长度 198,600 字节,通过移动设备传播,它生成图片,修改VBS脚本的图标为 jpeg的图标。当收到、打开此病毒时,主要有以下危害:
A 检查文件 %Windir%\SYSTEM32\OeApi.vbs 是否存在,否则创建
B 生成图片文件 %Windir%\SYSTEM32\Christina.jpg 并打开
(见附件图一)
C 创建注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"System" = "%Windir%\SYSTEM32\OeApi.vbs"
使得病毒每次开机后自动执行
D 每隔三分钟将自身复制到移动磁盘 [盘符]\Christina Aguilera.vbs
E 修改注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Vbsfile\DefaultIcon
为 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\DefaultIcon 中的内容,
使得 VBS 脚本的图标为 jpeg 的图标
北京日月光华软件公司网站(www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到3月26日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。