科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道预警:光华反病毒资讯(3月26日-1日)

预警:光华反病毒资讯(3月26日-1日)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

光华反病毒研究中心近日进行病毒特征码更新,本文是几个重要病毒的简介。

作者:论坛整理 来源:zdnet网络安全 2008年4月11日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:

一、W32病毒:W32.Mancsyn,危害级别:★★★★★

根据光华反病毒研究中心专家介绍,这是一个 Win32 病毒,长度 23,552 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统。它通过DCOM远程执行漏洞传播,并下载执行其他有害程序。当收到、打开此病毒时,有以下危害:

A 生成以下文件
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\mmedia.exe
C:\WINDOWS\system32\rasman32.exe
C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe
B 删除以下文件
C:\WINDOWS\system32\acrmon32.exe
C:\WINDOWS\system32\acroup.exe
C:\WINDOWS\system32\acroup32.exe
C:\WINDOWS\system32\cvrss.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Task Manager.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\taskman.exe
C 添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Default" = "C:\WINDOWS\system32\rasman32.exe[NULL CHARACTER FOLLOWED BY SEVERAL RANDOM BYTES]"
使得病毒每次开机后自动执行
D 创建注册表项
HKEY_CURRENT_USER\Software\cvc\"dl" = "[http://]dl01.bashchelik.com/dcv[已删除]"
E 删除注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ATI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Read
F 创建系统信号量 mtx_cv_cv_v1.3
和 explthrmtx1_xx
G 从以下地址下载更多文件
http://srv01.bashchelik.com/pcv[已删除]
http://dl01.bashchelik.com/dcv[已删除]
H 连接以下服务器 srv02.bashchelik.com
srv01.debelizombi.com
srv02.bashchelik.com
srv01.debelizombi.com
I 下载文件保存到 C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe
并执行
J 通过TCP的端口445,利用DCOM远程执行漏洞传播,参见 BID 8205

二 脚本病毒 VBS.Agui.A,危害级别:★★☆☆☆

根据光华反病毒研究中心专家介绍,VBS.Agui.A 是一个脚本病毒,长度 198,600 字节,通过移动设备传播,它生成图片,修改VBS脚本的图标为 jpeg的图标。当收到、打开此病毒时,主要有以下危害:

A 检查文件 %Windir%\SYSTEM32\OeApi.vbs 是否存在,否则创建
B 生成图片文件 %Windir%\SYSTEM32\Christina.jpg 并打开
(见附件图一)
C 创建注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"System" = "%Windir%\SYSTEM32\OeApi.vbs"
使得病毒每次开机后自动执行
D 每隔三分钟将自身复制到移动磁盘 [盘符]\Christina Aguilera.vbs
E 修改注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Vbsfile\DefaultIcon
为 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\DefaultIcon 中的内容,
使得 VBS 脚本的图标为 jpeg 的图标
 
北京日月光华软件公司网站(www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到3月26日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章