书剑梅庄

 找回密码
 注册
查看: 406|回复: 1

[注意]病毒预报第三十八期(2003.10.19—03.10.25)

[复制链接]
发表于 2003-10-21 07:15:02 | 显示全部楼层 |阅读模式
病毒名称:Worm_Zezer
  病毒种类:蠕虫
  感染系统:Windows 95/98/Me/NT/2000/XP
  病毒特性:
  
   病毒使用Visual Basic 6编写,并使用UPX压缩。病毒慌称MSN的补丁安装程序,并以微软的名义发送电子邮件,以诱骗用户打开附件,感染病毒。病毒具有如下特征。
  
  1、 生成多个病毒副本到系统中
   %Windows%\Mscsgs.exe(%Windows%通常为C:\Windows或C:\Winnt)
  %System%\Mscsgs32.exe(%System%在Windows 9x/Me下为C:\Windows\System,在Windows NT/2000下为 C:\WINNT\System32,在Windows XP下为 C:\Windows\System32)
  %startup%msnexec.exe(%startup%为系统的启动目录)
  
  2、修改注册表 添加启动项,使得病毒文件能随系统启动而自动运行
  在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
  Mscsgs="%WindowsRoot%\Mscsgs.exe"
  在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下添加
   "Mscsgs32"="%SYSTEM%MSCSGS32.EXE "
  
  3、发送病毒电子邮件 病毒邮件慌称微软发布了一个与MSN有关的漏洞补丁,让MSN的用户取下载补丁程序。病毒会获取MSN中联络人的邮件地址,并向这些地址发送带毒的电子邮件。邮件格式如下:
  
  发信人:(为下列之一)
  winpatch@microsoft.com
  services@microsoft.com
  msnsupport@microsoft.com
  helpdesk@microsoft.com
  security@microsoft.com
  windowsupdate@microsoft.com
  run = "WINhelp32.exe"
  
  主题:(为下列之一)
  Windows Update
  MSN Messenger Update
  MSN Messenger vulnerability
  
  附件:Msn_inst.exe
  
  内容:"Attention All Microsoft Users: A patch has been issued to correct a vulnerability in MSN Messenger which can be performed by a malicious user in order to gain unauthorized access to compromised computers. Windows users who have MSN Messenger 4.x and higher versions are affected by this vulnerability and must download and install the patch labeled , which is attached to this email message. For any support regarding this patch please contact support@microsoft.com for more information."
  
  4、病毒会关闭多家反病毒软件和防火墙,使计算机失去基本的防护。
  
  5、病毒还会窃取存储于系统中的帐号及密码
清除病毒的相关操作
  
  1、终止病毒进程
  在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE
  在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC
  选择"任务管理器--〉进程",选中正在运行的病毒进程,并终止其运行。
  
  2、注册表的恢复
  点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,并删除面板右侧的"Mscsgs"="%WINDOWS%MSCSGS.EXE"。
  再依次双击左侧的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ,找到并删除面板右侧的"Mscsgs32"="%SYSTEM%MSCSGS32.EXE "
  
  3、删除病毒文件 点击"开始--〉查找--〉文件和文件夹",查找"Mscsgs.exe"、"Mscsgs32.exe" 、"msnexec.exe",并将找到的文件删除。
  
  4、运行杀毒软件对系统进行全面的病毒查杀
  
  本周发作:
  病毒名称:WM_TWNO.D
  病毒类型:宏病毒
  发作日期:10月25日
  危害程度:病毒会改变Word的工具条,同时向用户提出问题,并根据回答删除C:\DOS\*.*,C:\WINDOWS\*.INI。
  
  专家提醒:
  
  1、计算机出现故障或不明文件,不要贸然删除文件或进行格式化,应先用最新版本的杀毒软件对计算机进行全面扫描。
  
  2、若硬盘数据已遭到破坏, 不要急着进行格式化,因为绝大多数病毒不可能在短时间内将硬盘数据全数破坏, 应加以分析, 并及时进行恢复。
  
  3、不要轻易登录不明网站,一些不正规的网站缺少必要的安全措施和管理,比较容易被病毒感染,成为病毒传播的又一途径。
  
  国家计算机病毒应急处理中心
  计算机病毒防治产品检验中心
  网 址:Http://www.antivirus-China.org.cn
  电  话:022-66211488/66211489/66211490 转 8017
  传  真:022-66211487
  电子邮件:sos@antivirus-China.org.cn
   security@tj.cnuninet.net
发表于 2003-10-21 11:04:38 | 显示全部楼层

[注意]病毒预报第三十八期(2003.10.19—03.10.25)

WINDOWS 2003服务器版是基于WINDOWS NT下的吧?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|书剑梅庄 ( 鄂ICP备19013424号-6 )

GMT+8, 2024-12-22 19:30 , Processed in 0.099443 second(s), 15 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表