|
|
[这个贴子最后由烟霞雨濛濛在 2004/02/21 11:35pm 第 1 次编辑]
金山反病毒气象(2004年02月23日至2004年02月29日)
金山反病毒应急中心本周进行升级包的更新,请用户尽快到金山毒霸站duba.net下载升级包,以下是几个重要病毒的简介:
本周重点关注病毒:
恶性蠕虫:“冲击波克星”变种B(Worm.WelChia.b)★★★
感染系统: WinNT/Win2000/WinXP/Win2003
蠕虫病毒。该病毒在网络中通过Windows的系统漏洞传播,会在被感染的机器上留下
后门,并下载Windows的相关补丁为系统安装,但是对于日文系统,将打开一个保存在本地的记录了一些日本发动侵华战争的标志性日期。该病毒的存在,大大影响了计算机的稳定性和安全性,对信息安全赵成很大的隐患。以下是病毒的详请:
病毒名称:Worm.WelChia.b 中文名称: “冲击波克星”变种
威胁级别:3C 病毒类型: 木马
受影响系统: WinNT/Win2000/WinXP/Win2003
技术特征:
A、在注册表中添加以下键值:
1)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch------添加了该键后,
每当系统启动时,该病毒就能以服务的形式运行
Type = dword:00000010
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath
DisplayName = "随机生成的值"
ObjectName = "LocalSystem"
Description = "Maintains an up-to-date list of computers on your network and
supplies the list to programs that request it."
DisplayName由三组字符串组成:
%字符串1% %字符串2% %字符串3%
每次会分别从每组字符串中随机取出一个字符串来组成一个完整的名字
字符串1:
Security
Remote
Routing
Performance
Network
License
Internet
System
Browser
字符串2:
Manager
Procedure
Accounts
Event
Logging
字符串3:
Sharing
Messaging
Client
Provider
2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch\Security Security
B、 如果以下注册表键值存在,该病毒会将其删除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
C、 如果以下键值被MYDOOM病毒修改了,该病毒也会将它用WEBCHECK.DLL覆盖
D、 该病毒会将其自身拷贝在%System32%\drivers目录下,文件名为:SVCHOST.EXE
E、 如果系统不是日文,那么该病毒不会对系统造成什么危害,反而会为系统打上相关补丁:
http://download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-
3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe
http://download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-
2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe
http://download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-
a34035dc181a/WindowsXP-KB828035-x86-ENU.exe
http://download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-
70087ccad56c/Windows2000-KB828749-x86-CHS.exe
http://download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-
c26de0929513/Windows2000-KB828749-x86-KOR.exe
http://download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-
3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe
F、如果为日文系统,那么该病毒会从注册表Virtual Roots及IIS Help folders中读取路径,并尝试用病毒体内带的一个网页文件替换此路径下的文件。
解决方案:
A、 请升级金山毒霸到最新,及可处理该病毒;
B、 请及时升级您的操作系统,为操作系统打上最新的补丁,及可防卸该病毒。
--------------------------------------
传奇木马:“传奇盗号精灵”★
感染系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
木马病毒,该病毒通过一些含恶意代码的网页传播,机器被感染后,启动时会执行病毒,挂接网络游戏“传奇世界”窃取游戏密码,发送到指定邮箱,并会终止许多反病毒软件的病毒防火墙和网络防火墙。该病毒的存在,大大影响了计算机的稳定性和安全性,对信息安全赵成很大的隐患。以下是病毒的详请:
病毒名称: Win32.Troj.MirSprite 中文名称: “传奇盗窃精灵”
威胁级别:1B 受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒类型:木马
技术特点:
A、自我复制到系统目录,并释放以下文件
%system%\sprite.exe 病毒主程序
%system%\sprite.dll 病毒释放的DLL文件,用于挂接网络游戏“传奇世界”;
B、添加注册表键值
"QuickTime Task.s" = "%systmem%\sprite.exe"
到 HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run
以便木马可随机启动
C、结束常见反病毒软件的防火墙和网络防火墙;
D、隐藏于网页中或是隐藏于一些工具软件中,比如:网络游戏的外挂。可能被人恶意安装;
E、病毒盗得密码后会发送到指定的邮箱中。
解决方案:
· 请使用金山毒霸2004年02月16日的病毒库可完全处理该病毒;
· 对网络游戏的帐户密码申请密码保护,尽量少到公共场所使用有价帐户。不要下载不安全网址
所提供的工具软件;
· 手工解决方案:
对于系统是Windows9x,WindowsMe:
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为
C:\windows\system),分别输入以下命令,以便删除病毒程序:
C:\windows\system\>del sprite.exe
C:\windows\system\>del sprite.dll
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
"QuickTime Task.s" = "%systmem%\sprite.exe"
关闭注册表编辑器。
对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务
管理器中,单击“进程”标签,在例表栏内找到病毒进程“sprite.exe”,单击“结束进程
按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统目录(Winnt\system32或windows\system32),找
到文件“sprite.exe、sprite.dll”,将它们删除,注意清空回收站内的内容;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
在右边的面板中, 找到并删除如下项目:
"QuickTime Task.s" = "%systmem%\sprite.exe"
关闭注册表编辑器.
|
|
IP卡
狗仔卡
发表于 2004-2-21 23:34:21
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡