论坛: 病毒专区 标题: 小心新病毒! 复制本贴地址    
作者: sainthero [sainthero]    论坛用户   登录
滥发邮件且夹带Funlove 警惕“新娘”进门! 

--------------------------------------------------------------------------------

『金山反病毒资讯网』        2002年11月08日 14:32:03 

����11月6日,知名软件厂商金山公司旗下的金山反病毒中心在国内率先截获了一例新蠕虫“新娘”(Worm.Bride.114688)。这位“新娘”最初是在国外互联网上蔓延,随后登陆中华大地。根据金山反病毒中心的病毒工程师分析,蠕虫的传播速度较快,且具相当的危害性。 
���� 
����该蠕虫既可通过邮件传播,也会借助共享网络繁殖。病毒本身是一个约150K的PE程序,用 Visual Basic编写,附件名为README.EXE。它与大多数蠕虫(如尼姆达等)一样,利用了微软IE浏览器的IFRAME漏洞,在没有打补丁的机器上预览邮件即会激活。因此,如果用户还没有对此漏洞进行修补的话,金山公司建议您尽快安装补丁,补丁下载地址:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp 
���� 
����蠕虫运行后,会复制自身到系统目录及Windows桌面下,分别命名为REGEDIT.EXE及EXPLORER.EXE。同时尝试关闭进程中的一些反病毒软件。与大多数邮件蠕虫一样,它会搜索所有HTM和DBX文件中的EMAIL地址,一旦找到即会向它些地址发送大量的病毒邮件。在传播过程中还会创建一些临时文件,包括:Windows桌面目录下,文件名为Help.eml;Windows临时目录下,文件名为Brade0.tmp,Brade1.tmp。 
���� 
����更为严重的是,此蠕虫还会释放一个FUNLOVE病毒的变种到系统目录下,命名为MSCONFIG.EXE。Funlove最初发现于1999年11月,专门感染Windows的PE文件。在感染本地机器的可执行文件后,它又会将自己传播到局域网或广域网上去破坏其他机器上的可执行文件。这就达到“新娘”借助共享磁盘繁殖的目的。 
���� 
����另外,当蠕虫内部的计数为特定值时,它会尝试打开以下网站:http://www.hotmail.com及http://www.sex.com。 
���� 
����要清除“新娘”蠕虫,金山公司建议运行杀毒软件查杀Funlove病毒并到到金山反病毒资讯网www.duba.net将病毒库升级,以防杀“新娘”病毒。金山公司将一步关注此蠕虫的传播动向,及时提供病毒解决方案。


金山公司截获最新病毒--蠕虫新娘Worm.Bride 

--------------------------------------------------------------------------------

『金山反病毒资讯网』        2002年11月06日 21:45:48 

����病毒名称:Worm.Bride.114688 
����病毒类型:蠕虫 
����感染长度:114688字节 
����危害级别:中 
����传播速度:中 
���� 
����技术特征: 
����这是一个通过邮件传播的蠕虫,病毒本身是一个约150K的PE程序,用Visual Basic编写。病毒具有如下特征: 
�������� 
����(1)复制自身到系统目录下,命名为REGEDIT.EXE;复制自身到Windows的桌面目录下,命名为EXPLORER.EXE。 
����     
����(2)在注册表项HKCUSoftwareMicrosoftWindowsCurrentVersionRun下添加键值regedit = %WinSystem%regedit.exe,使蠕虫随系统启动自动运行。 
����     
����(3)该蠕虫会尝试关闭进程中的一些反病毒软件。 
����     
����(4)该蠕虫会搜索所有HTM和DBX文件中的EMAIL地址,并将自己发送给搜索到的信箱地址。 
����     
����(5)该蠕虫在传播过程中会创建一些临时文件,包括:Windows桌面目录下,文件名为Help.eml;Windows临时目录下,文件名为Brade0.tmp,Brade1.tmp。 
����     
����(6)该蠕虫会释放一个FUNLOVE病毒的变种到系统目录下,命名为MSCONFIG.EXE 。 
����     
����(7)当蠕虫内部的计数为特定值时,它会尝试打开以下网站:   
���������� http://www.hotmail.com 
��������������http://www.sex.com 
����     
����(8)该蠕虫邮件具有以下特征: 
����    .邮件主题为空。 
����    .邮件的附件名为README.EXE 
����    .邮件内容会含有如下信息: 
����      Hello, 
���� ���� Product Name: < ... > 
���� Product Id: < ... > 
���� Product Key: < ... > 
���� Process List: < ... > 
���� Thank you. 
����其中括号中的内容为被感染机器上对应的系统信息。 
����     
����(9)该蠕虫利用IFRAME漏洞传播,这样在没有打补丁的用户机器上,预览即会激活该蠕虫。 
���� 
����请升级金山毒霸进行查杀。       
���� 




[此贴被 sainthero(sainthero) 在 11月14日18时13分 编辑过]

地主 发表时间: 11/14 18:2

回复: napolun [napolun]   版主   登录


B1层 发表时间: 11/17 23:48

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号