当前位置:皇牌天下 > 科技中心 > 网络中心:近期新病毒预警

网络中心:近期新病毒预警

文章作者:科技中心 上传时间:2019-05-10

恶性蠕虫:小邮差变种“诺维格”(Worm.Novarg.a、Mydoom)★★★★ 感染系统:Win9x/WinMe/Win2000/WinXP/Win2003 邮件恶性蠕虫,大量发送垃圾邮件,造成邮件服务器性能下降或瘫痪,阻塞网络,影响正常的网络工作环境。该蠕虫还会在受感染的系统内留下危险级极高的后门,可让黑客远程登录受感染的系统,以及对网站发起恶意的DoS攻击。以下是该病毒的技术特点: 病毒信息: 病毒名称:Worm.Novarg.a 中文名称:诺维格 威胁级别:4A 病毒别名:“SCO炸弹” [瑞星] “挪威客” [江民] W32/Mydoom@MM [McAfee] WORM_MIMAIL.R [Trend] W32.Novarg.A@mm [Symantec] 受影响系统:Win9x/NT/2K/XP/2003 技术特征: 1、创建如下文件: %System%shimgapi.dll %temp%Message, 这个文件由随机字母通组成。 %System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。 (注:%system%为系统目录,对于Win9x系统,目录为windowssystem。对于NT及以上系统为Winntsystem32或Windowssystem32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。) 2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听; 3、添加如下注册表项: HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun TaskMon = %System%taskmon.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun TaskMon = %System%taskmon.exe 使病毒可随机启动; 添加如下注册表项: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version 用于存储病毒的活动信息。 4、对www.sco.com实施拒绝服务攻击; 5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址: .htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt 6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送;采用“系统退信”的方法传播病毒邮件; 7、拷贝自己到KaZaA的共享目录下,伪装成如下文件,后缀可能为(pifscrbat),欺骗其它KaZaA用户下载,达到传播的目的: winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 解决方案: 因此在了解了该病毒的特别传播方式以后,我们就可以找到防范的方法: 1、请升级您的金山毒霸到2004年1月27日的病毒库,并打开病毒防火墙和邮件防火墙来阻止病毒邮件的入侵; 2、如果出现提示说系统退信时,请不要打开退信中的附件; 3、不要打开陌生人邮件; 4、改变文件的查看方式,让文件显示完整的扩展名,使病毒无处藏身。病毒常用后缀为:.bat, .cmd, .exe, .pif, .scr,.zip。 打开显示完整扩展名的方法: A、打开资源管理器,单击“工具”,再单击“文件夹选项” B、选择“查看”标签项 C、找到“隐藏已知文件类型的扩展名”,取消前面的“勾” D、点击“确定”即可。 如果不幸中了此病毒,请使用以下方法进行查杀: 1、请升级您的杀毒软件到2最新的病毒库,使全盘完全查杀来清除该病毒; 2、如果您没有杀毒软件,您可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入; 3、所有用户还可以尽快登录到ftp://down.henannu.edu.cn/病毒防治/专杀工具/Novarg/Duba_Novarg.EXE下载“诺维格”专杀工具,以防止该病毒的肆虐。 4、用户发现该病毒的形踪,请立即升级病毒库到最新,然后将中毒机器立即隔离出网络来查杀。开启邮件服务器的邮件过滤,将病毒邮件过滤。

病毒名称:SCO炸弹(Worm.Novarg)又名 MyDoom

警惕程度:★★★★

皇牌天下,发作时间:随机

病毒类型:蠕虫病毒

传播途径:邮件**

依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍:

该病毒通过电子邮件传播,感染用户电脑之后潜伏下来,等到系统日期为2004年2月1日时发作,利用受感染电脑对SCO网站进行拒绝服务式攻击。

据瑞星反病毒工程师分析,此病毒最先在欧美爆发,主要目的是利用大量受感染电脑攻击SCO公司的官方网站,很可能是LINUX爱好者编写。

该病毒利用电子邮件传播,伪装成电子邮件系统的退信,邮件标题可能为“Error”、“Mail Transaction Failed”、“Server ReportMail Delivery System”,附件后缀为“bat、cmd、exe、pif、scr、zip”,该附件即为病毒体。瑞星反病毒工程师提醒用户,如果收到类似可疑邮件,请不要打开附件。

病毒的特性、发现与清除:

  1. 该病毒是蠕虫型病毒,采用upx压缩。

  2. 病毒运行时会释放后门程序为:%System% shimgapi.dll,该后门为一个代理服务器,端口为3127至3198,该模块还能根据传来的命令接受一个文件到本地系统并执行。可将该病毒文件直接删除。

注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:Windowssystem”或:“c:Winntsystem32”。

3. 病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。

注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:Windowstemp”或:“c:Winnttemp”。

4. 病毒运行时会将自身复制为:%System%taskmon.exe,目的是冒充系统的任务管理器,广大计算机用户要注意分辨。可将该病毒文件直接删除。

5. 病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行,则会立刻将该程序关闭,目的是防止用户查看内存中的病毒进程。

6. 病毒运行时会修改注册表:HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32,在其中建立病毒键值:"(Default)" = "%System% shimgapi.dll ",目的是替换系统中的默认浏览器程序,使用户一打开浏览器,就能自动执行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。

  1. 病毒会修改注册表的自启动项:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,

在其中加入病毒键值:" TaskMon ",目的是开机时可以自动运行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。

8. 病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个,如果攻击成功,将会导致这两个网站瘫痪,无法向用户提供服务。

  1. 病毒运行时将会在以下类型: .htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb

本文由皇牌天下发布于科技中心,转载请注明出处:网络中心:近期新病毒预警

关键词: 皇牌天下