國家計算機病毒應(yīng)急處理中心經(jīng)過監(jiān)測發(fā)現(xiàn),我國近期又出現(xiàn)了“愛之門”和“貝革熱”病毒的新變種,提醒廣大計算機用戶注意防范。
“愛之門”病毒的新變種運行后常駐內(nèi)存,并在windows文件夾、系統(tǒng)文件夾和C盤根目錄下生成多個自身拷貝。同時對注冊表進行多處改動,修改.txt(文本文件)的關(guān)聯(lián),使得用戶在運行.txt的時候,實際上是在運行病毒。病毒可通過電子郵件進行傳播,有可能以回復(fù)正常郵件的形式到達,病毒還有可能將發(fā)信人的地址偽裝成hotmail、MSN、YAHOO、AOL等大公司的郵件地址。另外病毒可通過網(wǎng)絡(luò)共享進行傳播。
“貝革熱”病毒在沉寂數(shù)日后,也出現(xiàn)了新的變種,提醒用戶對電子郵件的處理一定要謹慎,不確定的附件應(yīng)先對其進行檢測,確定無毒后方可運行,同時要及時的升級殺毒軟件,并啟動“實時監(jiān)控”和“郵件監(jiān)控”功能。
病毒名稱:“愛之門”病毒變種(Worm_Lovgate.AD) 病毒種類:蠕蟲
感染系統(tǒng):Windows95/98/Me/NT/2000/XP 病毒特性:
1、生成病毒文件
病毒會將大量可執(zhí)行文件替換成病毒副本文件,并將原文件變?yōu)殡[含屬性且后綴名被改變。同時病毒會在被感染系統(tǒng)中生成多個自身拷貝和病毒文件。在%Windows%文件夾下生成:SVCHOST.EXE和SYSTRA.EXE。在ystem%文件夾下生成:HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盤根目錄下生成:AUTORUN.INF和COMMAND.EXE。
2、修改注冊表
病毒在注冊表中添加以下項目,使得自身能夠作為服務(wù)運行:在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加SystemTra ="C:WindowsSysTra.EXE"COM++ System = "svchost.exe"
病毒在注冊表中添加以下項目,使得自身能夠隨系統(tǒng)啟動而自動運行,在HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows下添加run = "RAVMOND.exe" WinHelp = "C:WindowsSystem32TkBellExe.exe" Hardware Profile = "C:WindowsSystem32hxdef.exe" VFW Encoder/Decoder Settings ="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" MicrosoftNetMeeting Associates, Inc. = "NetMeeting.exe"Program In Windows = "C:WindowsSystem32IEXPLORE.EXE" Shell Extension = "C:WindowsSystem32spollsv.exe" Protected Storage = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"
病毒修改以下注冊表項目,這樣一來,用戶在運行.txt文本文件的時候,實際上就是在運行病毒拷貝:HKEY_CLASSES_ROOT xtfileshellopenmmand default ="Update_OB.exe %1"(原始數(shù)值為%SystemRootystem32NOTEPAD.EXE %1)HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopenmmand default = "Update_OB.exe %1"(原始數(shù)值為%SystemRootystem32NOTEPAD.EXE %1)
3、修改文件
病毒修改文件AUTORUN.INF[AUTORUN]Open="c:COMMAND.EXE"/StartExplorer
4、通過電子郵件進行傳播
(1)病毒搜索系統(tǒng)郵箱,回復(fù)找到的電子郵件,并將病毒作為附件進行傳播。
標題:Re: <郵件原始主題>
附件:存在多種形式,擴展名為.exe、.pif、.scrsong.MP3.pif
(2)病毒從下列擴展名的文件中搜索郵件地址:ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB,并向這些地址發(fā)送帶毒的電子郵件。
病毒郵件特征如下:
發(fā)件人:
%病毒體內(nèi)選取的特定字符%.aol.com
%病毒體內(nèi)選取的特定字符tmail.com
%病毒體內(nèi)選取的特定字符%.msn.com
%病毒體內(nèi)選取的特定字符%.yahoo.com
標題:<為下列之一> hi hello Mail Delivery System Mail Transaction Failed
內(nèi)容:<可變>
附件:
文件名為body、data、doc、document、file、message、readme、test、text或zge,擴展名為BAT、EXE、PIF、SCR或ZIP。病毒會避免向含有特定字符串的郵件地址發(fā)送帶毒的電子郵件,這些字符串多與反病毒以及計算機安全相關(guān)。
5、通過網(wǎng)絡(luò)傳播
病毒會在Windows文件夾下創(chuàng)建一個名為"Media"的共享文件夾,并在其中生成自身的拷貝。病毒還會掃描本地網(wǎng)絡(luò)的計算機,嘗試通過密碼探測進入"Admin 共享進行傳播,一旦登錄成功,病毒會在遠程計算機的"AdminSystem32"文件夾中生成自身拷貝,名稱為"NETMANAGER.EXE"。(記者張建新)
來源:新華網(wǎng)