病毒预报(一)
国家计算机病毒应急处理中心通过对互联网的监测,在2004年2月24日和2月26日发现异常的病毒的邮件,经分析证分别为新出现的病毒Worm_Mydoom.F和Worm_Netsky.C。
其中Worm_Mydoom.F病毒是通过邮件传播的蠕虫病毒。病毒本身是一个可执行文件,可能包含在一个ZIP压缩包里。当病毒运行时,会在多个文件夹下生成多个随机字母组成的病毒文件。病毒具有后门功能,会在 TCP 端口 1080 上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口,给系统安全带来隐患。病毒还会删除扩展名为.mdb、.doc、 .xls、 .sav、 .jpg、 .avi、 .bmp的文件,并在每个月的17到22号之间时,发起对网站www.riaa.com和www.microsoft.com进行DOS攻击。病毒具有破坏性。
Worm_Netsky.C是“网络天空”病毒的又一个变种。该病毒通过邮件传播的蠕虫病毒,病毒邮件的发信人、主题、内容和附件都是不固定的。当病毒运行时,会生成病毒文件、修改和删除注册表项,并在共享文件夹下生成病毒文件。
近期出现了多个通过邮件传播的病毒,国家计算机病毒应急处理中心提醒广大用户,升级杀毒软件,开启“实时监控”和“邮件监控”功能,同时关注病毒最新动态,了解流行病毒的基本特征,对邮件一定要谨慎处理,即时是熟识地址发送的邮件也不要随意打开,抵御病毒邮件的入侵,防止病毒造成的破坏。
病毒名称:Worm_Mydoom.F
病毒别名:I-Worm.Mydoom.e (Kaspersky)
W32/Mydoom.f@MM(McAfee)
Win32/Mydoom.F.Worm, Worm_Mydoom.F (Trend)
“SCO炸弹变种D”病毒(瑞星)
“Mydoom.F”病毒(金山)
病毒长度:34,568字节
病毒类型:蠕虫
影响系统:Win 95/98/NT/2000/Me/XP/Server 2003
病毒发作后有可能显示一个对话框或者启动记事本。信息可能包括:
"File cannot be opened"
"File is corrupted"
"Unable to open specified file"
病毒预报(二)
1、 生成病毒文件
病毒会拷贝自己到系统目录%windows%下(Windows 2000下为:C:Winnt,Windows XP下为C:Windows),文件名是随机产生的。
病毒在多个文件夹下生成病毒文件,病毒文件的文件名为随机生成的4 到 13 个小写字母组成,扩展名为 .exe。病毒还在多个文件夹下使用随机的文件名创建 .zip 存档文件。
在 %System% 文件夹中创建 .dll 文件,病毒文件的文件名为随机生成的4 到8个小写字母组成,并在 .dll 文件结尾附加随机生成的数据。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:WindowsSystem、在Windows NT/2000中为C:WinntSystem32、在Windows XP中为C:WindowsSystem32 )
2、 修改注册表项
病毒会添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun或
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun 下添加
“〈4到8个随机的小写字母〉" = "%System%〈生成的病毒的文件名〉”
3、后门功能
病毒具有后门功能,病毒运行后,在 TCP 端口 1080 上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口。通过打开 TCP 端口 1080,病毒在受感染系统中设置后门程序,这样一来,就给攻击者制造了可乘之机,它们可以连接到受感染得计算机,并使用该计算机作为代理以访问其网络资源。
4、 删除文件
病毒在驱动器 C 到 Z 上搜索具有下列扩展名的文件,并任意删除搜索到的文件:
.mdb
.doc
.xls
.sav
.jpg
.avi
.bmp
5、通过电子邮件进行传播
该蠕虫使用自带的SMTP进行传播。病毒在被感染用户的系统内搜索电子邮件地址,并向这些地址发送带毒的电子邮件。病毒发送的带毒电子邮件的发件人可能不是真实的邮件地址,具有欺骗性的地址,邮件的主题、内容和附件都是不固定的。
看本文的网友还看了:
2006 经营许可证编号:浙B2-20040150 粤B2-20050807