预警：光华反病毒资讯(3月26日－1日)

光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介：

一、W32病毒：W32.Mancsyn，危害级别：★★★★★

根据光华反病毒研究中心专家介绍，这是一个 Win32 病毒，长度 23,552 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统。它通过DCOM远程执行漏洞传播，并下载执行其他有害程序。当收到、打开此病毒时，有以下危害：

A 生成以下文件
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\mmedia.exe
C:\WINDOWS\system32\rasman32.exe
C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe
B 删除以下文件
C:\WINDOWS\system32\acrmon32.exe
C:\WINDOWS\system32\acroup.exe
C:\WINDOWS\system32\acroup32.exe
C:\WINDOWS\system32\cvrss.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Task Manager.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\taskman.exe
C 添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Default" = "C:\WINDOWS\system32\rasman32.exe[NULL CHARACTER FOLLOWED BY SEVERAL RANDOM BYTES]"
使得病毒每次开机后自动执行
D 创建注册表项
HKEY_CURRENT_USER\Software\cvc\"dl" = "[http://]dl01.bashchelik.com/dcv[已删除]"
E 删除注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ATI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Read
F 创建系统信号量 mtx_cv_cv_v1.3
和 explthrmtx1_xx
G 从以下地址下载更多文件
http://srv01.bashchelik.com/pcv[已删除]
http://dl01.bashchelik.com/dcv[已删除]
H 连接以下服务器 srv02.bashchelik.com
srv01.debelizombi.com
srv02.bashchelik.com
srv01.debelizombi.com
I 下载文件保存到 C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe
并执行
J 通过TCP的端口445，利用DCOM远程执行漏洞传播，参见 BID 8205

二 脚本病毒 VBS.Agui.A，危害级别：★★☆☆☆

根据光华反病毒研究中心专家介绍，VBS.Agui.A 是一个脚本病毒，长度 198,600 字节，通过移动设备传播，它生成图片，修改VBS脚本的图标为 jpeg的图标。当收到、打开此病毒时，主要有以下危害：

A 检查文件 %Windir%\SYSTEM32\OeApi.vbs 是否存在，否则创建
B 生成图片文件 %Windir%\SYSTEM32\Christina.jpg 并打开
（见附件图一）
C 创建注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"System" = "%Windir%\SYSTEM32\OeApi.vbs"
使得病毒每次开机后自动执行
D 每隔三分钟将自身复制到移动磁盘 [盘符]\Christina Aguilera.vbs
E 修改注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Vbsfile\DefaultIcon
为 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\DefaultIcon 中的内容，
使得 VBS 脚本的图标为 jpeg 的图标
 
北京日月光华软件公司网站（www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到3月26日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。