|
 | 作者: tommy_fool [tommy_fool]
 论坛用户 |
登录 |
| 内容一般是一个笑脸:),附件一般是 price.exe 或者joke.exe 请教是什么毒,具体的杀毒方法。 我曾经找了fxbeagle的专杀。可查不到。。 |
| 地主 发表时间: 04-10-10 21:31 |
 | 回复: kailangq [kailangq]  版主 |
登录 |
|
爱情后门变种T病毒介绍及防范 警惕程度:★★★★ 发作时间:随机 病毒类型:蠕虫病毒 传播途径:局域网/邮件/后门/系统文件 依赖系统: WINDOWS 9X/NT/2000/XP 病 毒介绍: 2003年11月17日,瑞星全球反病毒监测网在全球率先截获“爱情后门”病毒的最新变种―“爱情后门变种T(Worm.LovGate.T)”,该病毒除了具有蠕虫、黑客、后门等病毒特性外,还增加了感染系统文件、盗窃密码两大全新功能,具有更大的危险性。目前国内外大部分反病毒软件还无法将该病毒变种查出,因此广大电脑用户更要小心提防该病毒。 “爱情后门变种T”病毒会搜索系统中的所有可执行文件,在尾部加入一个远程窃取信息的病毒模块,只要被感染的文件运行,就会激活该病毒模块,然后搜索包含如下字眼的窗口:“登录”、“注册”、“密码”、“口令”、“账号”、“pass”,偷盗这些窗口中的密码信息,并存于syszsl.dll文件之中,通过网络泄露出去。 病毒运行时还会将自己复制到系统目录下,通过修改注册表和WIN.INI文件两种方式进行自启动,大大增强了病毒运行的可能性,病毒被激活时会通过猜密码的方式来破译局域网计算机的管理员密码,取得最高权限,成功后便能控制该计算机,如果不能成功,病毒还会将自己拷贝到局域网计算机的共享目录下,来诱使局域网中的其它计算机用户运行该病毒。 病毒运行时还会给系统开后门,并且每隔一小时就会向病毒作者发送一封记录被感染计算机IP信息的信件,使病毒作者能控制用户计算机。该病毒还会搜索用户的E-MAIL地址,然后通过发送大量病毒邮件来进行网络传播,并极有可能会阻塞网络。 病毒的特性、发现与清除: 1. 感染系统中的所有可执行文件,在这些文件尾部加入一个通过远程窃取信息的模块,该病毒模块的作用是搜索包含如下字眼的窗口:“登录”、“注册”、“密码”、“口令”、“账号”、“pass”,偷盗这些窗口中的密码信息,并存于syszsl.dll文件之中。 2. 病毒会释放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五个病毒, 用户可以在计算机中查找该病毒文件,找到后删除。 3. 当用户系统为9X系统时,病毒会修改启动文件win.ini,在其中加入run=rpcsrv.exe项, 用户可以用记事本程序将该文件打开,将这一病毒项删除。 4. 病毒会利用远程连接指令对局域网中的有guest和Administrator账号的计算机进行简单密码试探,如果成功将自己复制到对方的sytem32目录中,命名为:stg.exe,并注册成Window Remote Service服务来感染对方计算机,同时放出一个名为win32vxd.dll的盗密码文件,以盗取用户密码。。 5. 病毒不停地搜索网络资源,导致整个局域网资源被占用,如果发现有共享目录,则将自身复制过去,病毒文件名有以下几种可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe, PsPGame.exe,joke.exe,images.exe,pics.exe, 局域网的用户如果在共享目录中发现有这些文件,请直接删除。 6. 病毒会使用10168端口在系统中建立一个后门,等待外界用户连入,对用户计算机进行远程控制。 7. 病毒运行时会通过注册表来搜索电脑中的email地址,然后向这些地址发送大量的带毒邮件来阻塞网络。 邮件标题随机从以下字符串中选出: Cracks! The patch Last Update Test this ROM! IT ROCKS!. Adult content!!! Use with parental advi Check our list and mail your requests! I think all will work fine. Send reply if you want to be official b Test it 30 days for free. 当用户发现有这样标题的信件时,不要随便观看这些邮件,最好直接将这些邮件删除,以防止病毒运行。 8. 病毒运行后,会每隔1小时发送一次通知邮件到病毒作者的一个信箱,邮件的标题为:xyz123xyz123,内容为中毒系统的IP地址信息,当病毒作者收到病毒通知信件后,就可以利用病毒开的后门对用户计算机进行远程控制,为所欲为。 反病毒专家的安全建议: 1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。 2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。 3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。 4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。 5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。 6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。 |
| B1层 发表时间: 04-10-10 23:40 |
| 回复: tommy_fool [tommy_fool] 论坛用户 |
登录 |
|
也不是这个啊 |
| B2层 发表时间: 04-10-11 01:12 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 请教邮件病毒。。。