|
 | 作者: newmyth21 [newmyth21]
 论坛用户 |
登录 |
| 据金山毒霸反病毒实验室介绍,提醒用户注意以下病毒: 一、“狩猎者”变种(Win32.Troj.QQmsg521),木马病毒。该木马病毒仍然以QQ发送的消息为诱饵,诱使用户打开消息中的网址,如果没有及时安装微软Internet Explorer浏览器补丁的系统就会自动下载该网址中隐藏的病毒,并立即执行感染系统。然后病毒重复上述过程,继续扩散。以下是该木马病毒的详情: 病毒信息: 病毒名称: Win32.Troj.QQmsga521 中文名称: 狩猎者 威胁级别: 2C 病毒别名: QQ小尾巴[瑞星] 受影响系统: Win9x/NT/2K/XP/2003 技术特点: A.安装自身到%SystemRoot%中,文件名为"Fuck.exe"; B.在注册表的主键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 中添加如下键值: "fuck.exe"="%SystemRoot%\fuck.exe" 以便病毒可随机自启动; C.在注册表的主键: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 中修改如下键值: "Start Page"="http://www.a521.com" D.在进行QQ聊天时会在消息中加入如下信息等: "http://ee7.mm.to一夜情~你想吗?300多个女孩等着你~还等什么~快去"; "http://www8.a521.com又一张激情裸照哦~把网址发给你的朋友你就看到我了"; "带色的小笑话哦!http://ee7.mm.to 先看看"; "有兴趣和我视频聊天吗?http://music.a521.com来这里 我等你"; "http://movie.a521.com电影网站 这个站你可要好好看全是成人影片*^_^*"; E.在打开毒霸窗口时会自动关闭毒霸窗口并打开"http://www.a521.com 解决方案: 1)对于WinME和WinXP系统,请禁用系统还原功能 2)对于Win9x,可在纯DOS模式下删除文件“%system%\fuck.exe” 3)对于NT及以上系统,请在安全模式下删除文件“%system%\fuck.exe” 4)清除病毒在注册表中添加的键值 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices "fuck.exe"="%SystemRoot%\fuck.exe" 5)恢复Internet Explorer浏览器的主面设置 6)请为Internet Explorer浏览器打上最新的补丁,不要轻易点击QQ上的不明链接. 二、“禁玩游戏”(Win32.Troj.NoGame),木马、恶作剧病毒。通常被欺骗安装或是别有用心者恶意安装在系统中。该病毒会长驻内存,用时钟器控制,不断搜索系统中运行的程序,导致不能正常运行游戏“反恐精英”、“魔兽争霸”,不能打开“注册表编缉器”和“任务管理器”,骚扰正常使用电脑,并会浪费系统资源。以下是该病毒的详情: 病毒信息 病毒名称: Win32.Troj.NoGame 威胁级别: 1A 中文名称: 禁玩游戏 病毒类型: 木马、恶作剧 技术特点 系统修改: A、自我复制到系统目录 %system%\api32.dll.exe B、添加注册表键值,以便木马可随机启动 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "appi32.dll" = "%system%\api32.dll.exe 发作现象: A、运行游戏“魔兽争霸III”和“反恐精英”游戏时,病毒会中止游戏程序; B、禁止感染的系统打开“任务管理器”和“注册表编辑器” C、病毒伪装成DLL文件,欺骗用户运行。 解决方案: 1)对于WinME和WinXP系统,请禁用系统还原功能 2)对于Win9x,可在纯DOS模式下删除文件“%system%\api32.dll.exe” 3)对于NT及以上系统,请在安全模式下删除文件“%system%\api32.dll.exe” 4)清除病毒在注册表中添加的键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"appi32.dll" = "%system%\api32.dll.exe Win32.Troj.Lixy.b木马,病毒激活后在系统中开启一个危险级别很高的后门,可允未经授权的访问,造成系统信息泄露,甚至数据被破坏的情况。该木马是被动安装的,安装者恶意将木马安装到受害系统,目的就是为了盗取系统信息,请广大网络用户要提告警惕,防范这种人为的传播方式给系统带来的危害。以下是病毒的详细信息: 病毒名称:Win32.Troj.Lixy.b 病毒类型:木马 受影响系统:WinNT/Win2000/WinXP 威胁级别:1A 能处理的毒霸版本: 2004.01.02 技术特点: A、添加以下注册表项: HKEY_CLASSES_ROOT\CLSID\{1E1B2879-88FF-11D2-8D96-000000000004} HKEY_CLASSES_ROOT\HTMLEdit.SSocks32 HKEY_CLASSES_ROOT\HTMLEdit.SSocks32.1 HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{1E1B2879-88FF-11D2-8D96-D7ACAC95951A} HKEY_LOCAL_MACHINE\Software\CLASSES\HTMLEdit.SSocks32 HKEY_LOCAL_MACHINE\Software\CLASSES\HTMLEdit.SSocks32.1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{000000000004} B、开启一个代理服务,并且打开TCP端口:1029-1084;被感染机器将允许未经授权的访问 解决方案: A、请注意保护自己的系统安全,在无人的情况下尽量保证自己的系统不会被恶意使用; B、手工解决方案: 1)若系统为WinMe或Win2000,先关闭系统还原功能; 2)找到病毒文件Regsock32.exe,Msm32.exe,Ssocks32.dll的进程,并将其结束;找到文件,将其删除; 3)删除以下注册表信息: HKEY_CLASSES_ROOT\CLSID\{1E1B2879-88FF-11D2-8D96-000000000004} HKEY_CLASSES_ROOT\HTMLEdit.SSocks32 HKEY_CLASSES_ROOT\HTMLEdit.SSocks32.1 HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{1E1B2879-88FF-11D2-8D96-D7ACAC95951A} HKEY_LOCAL_MACHINE\Software\CLASSES\HTMLEdit.SSocks32 HKEY_LOCAL_MACHINE\Software\CLASSES\HTMLEdit.SSocks32.1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{000000000004} “QQ记录器”(Win32.Troj.QQRecord),这是一个盗取QQ帐号密码的木马,它会伪装成图片文件传递给网友,当网友打开执行时该木马就开始激活。木马在盗取到帐号后,会立即以QQ消息的方式将帐号和密码发送给木马的安装者,从而危害用户在网络中的信息安全。以下是该病毒的信息: 病毒名称:Win32.Troj.QQRecord 中文名称:QQ记录器 病毒类型:木马 受影响系统:Win9x/Win2000/WinXP 威胁级别:1A 能处理的毒霸版本: 2004.01.01 技术特点: A、自我复制到系统目录%system32%\Rund1132.exe B、添加注册表以下键值,以便随机启动 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "ime" = "Rund1132.exe C:\WINDOWS\system32\ime.dll,Rundll32" C、病毒会按安装者的意愿自毁,一般是已经盗取了对主的QQ帐号和密码以后 解决方案: A、不要随便打开好友传过来的图片文件,因为有可能是伪装的木马; B、手工解决方案: 1)对于Win9x系统,请在纯DOS方式下删除以下文件%system32%\Rund1132.exe 2)对于NT及以上系统,请使用任务管理器的结束名为"Rund1132.exe"的进程,然后在系统目录删除文件"Rund1132.exe" 3)清除病毒在注册表中添加的以下键值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "ime" = "Rund1132.exe C:\WINDOWS\system32\ime.dll,Rundll32" “传奇器官”(Win32.Troj.MirOrgan),这是一个传奇盗号木马。该木马多隐藏于一些不良网站中,当使用低版本或没有打补丁的Internet Explorer浏览器打开这些网页时就会感染该木马病毒。该木马病毒会伪装成SWF文件的媒体播放器,诱导用户执行,如果木马没有加载到系统目录中运行,会弹出一个“意外错误,系统找不到Flash播放插件”。木马会试图偷传奇等游戏的密码,发送到指定的信箱中,导致用户的经济损失。以下是病毒安装到系统后的技术特点: A.复制病毒体到%System%中,文件名为"Run32.exe"; B.在注册表的主键: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 中添加如下键值为:"Rundll32" = "%System%\Run32.exe"以便木马病毒可随机算机启动。 解决方案: A、请升级Internet Explorer浏览器到6.0,并打上最新补丁,不要轻易打开网友发来的网址,这些网址可能藏有病毒; B、手工解决方案: 1)对于Win9x系统请到纯DOS模式下删除"%system%\Run32.exe"文件; 2)对于WinNT/Win2000/WinXP系统请到安模式下删除"%system%\Run32.exe"文件; 3)清除病毒在注册表中添加的键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "Rundll32" = "%System%\Run32.exe" 一、“维博”(Win32.Troj.Webye99)木马病毒。该病毒是一个木马病毒,在用户打开IE或桌面上"我的电脑"等文件夹时,该病毒会自动打开"www.ye99.com"等网页,并从网站自动下载并安装木马到"%System%"目录,木马程序名为"wine.dll"。需要特别说明的是,该木马并不在启动时加载,而是在浏览IE或打开桌面上的文件夹时加载,因此在打开IE或文件夹窗口的情况下不能清除该木马. 建议解决方案: A、手工清除:由于在用通常的方法打开文件夹时会激活木马,从而不能删除,可以在DOS或命令行模式下运行直接删除系统目录下的"wine.dll"文件即可 B、用毒霸杀毒:关闭所有打开的文件夹和IE窗口,用毒霸杀毒即可 C、防范措施:为IE打上补丁,不要安装一些来历不明的程序。 二、“控制风暴”(Worm.SotrmOfGraps),蠕虫病毒。该病毒会利用系统指今PING探测可用的远端系统,如果被探测的系统使用的弱密码,则病毒可轻易破解,并上传病毒感染该系统。病毒还会利用被感染系统的mIRC聊天软件开启后门,该后门允许远程黑客连接,当连接成功后:会将系统信息泄露给远程黑客;对黑客选择的目标发起DoS(拒绝服务式)攻击;安装SMTP、IRC或HTTP代理,允许连接到该后门的客户端使用匿名的方式发送消息、操作IRC客户端程序和浏览网页。 建议解决方案: A、注意修改系统中管理员组内用户的密码,使之更强壮,不易被病毒所猜破 B、手工解决方案: 首先,关闭WinMe和WinXP的自动还原功能; 病毒使用随机名来感染系统,人工不易检查出病毒主程序的名字,所以应观察注册表中病毒添加的键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Management Instrumentation"=<蠕虫的名字> 以获得病毒主程序的名字; 对于WIN9x用户,请在纯DOS模式下删除病毒主程序和其释放的文件wds.bat、wds2.bat、wds3.bat;对于NT以上的用户,请使用进程管理器结束病毒进程(病毒进程名和病毒主程序名是一样的); 然后,删除病毒主程序和其释放的文件wds.bat、wds2.bat、wds3.bat; 最后,清除病毒添加的注册表键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Management Instrumentation"=<蠕虫的名字> 一、“勒托”(Win32.Netop.a),感染型病毒。该病毒具有在NT/Win2000/WinXP系统下完成感染文件的功能,并可通过局域网高速传播。此版本暂为病毒作者的尝试性作品,未做出更大的破坏行为。 二、“莫国防”变种(Win32.MGF.b),感染型病毒。该病毒释放一个小程序以驱动程序的方式安装到系统,从而获得系统的最高权限(Ring0级)。病毒激活后,可感染可执行程序,并只在3、6、9、12月的周五、六、日发作,但病毒一进入用户系统就会打开后门,并一直开启,从而使用户的计算机面临很大的安全风险。该病毒感染计算机之后会修改桌面上所有的快捷方式,一旦发作,会显示一个消息框,标题为:莫国防的技术使者之宣言,内容是:本使者为传播技术而来,已在这里安营扎寨。我无恶意,不必担心!致我的偶像比尔.盖茨:你的几个傻瓜手下,轻视我的漏洞报告,你该打他们的PP!。 以上两个病毒虽然没有进行大规模的破坏活动,但它们都已经具备了进行破坏的大前提:感染文件、获得系统最高权限等等,病毒作者稍加改动就可制作出破坏性极高的病毒,通过网络传播的能力,可能会带来比CIH病毒更大的危害,因此对此类病毒,我应该做好更充份防御工作,防患于未然。金山毒霸针对“勒托”、“莫国防”变种于今日进行了警急升级,升级病毒库到最新可完全处理以上两种病毒。如果手上没有金山毒霸的用户可使用在线查毒,或是购买下载版进行查杀和防御。 来源: 金山毒霸安全资讯网 |
| 地主 发表时间: 04-01-11 23:30 |
| 回复: newmyth21 [newmyth21] 论坛用户 |
登录 |
|
病毒真是烦啊,昨天装2000不到1小时就中了冲击波,没办法,晕……………… |
| B1层 发表时间: 04-01-12 00:06 |
| 回复: zybzc [zybzc]  论坛用户 |
登录 |
|
我觉得今年最热门的就是IE漏洞了 让木马肆虐 |
| B2层 发表时间: 04-01-12 02:08 |
| 回复: newmyth21 [newmyth21] 论坛用户 |
登录 |
老手病了,微软的东东总是这样了啦! |
| B3层 发表时间: 04-01-12 11:24 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 2004年热门病毒