病毒预报(6.13- 6.19)

时间: 2005-06-13 09:30:33    来自:国家计算机病毒应急处理中心
 

   国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了新蠕虫Worm_Bobax.P。这个是一个常驻内存型的蠕虫,它利用电子邮件进行传播。

   该蠕虫还可以利用Windows的LSASS的漏洞进行传播,同时会修改系统的HOSTS文件,阻止用户访问某些反病毒网站。

   蠕虫具体特征如下:

   病毒名称:Worm_Bobax.P
   感染系统:Win9x/WinNT/Win2000/WinXP/Win ME
   病毒长度:31,232字节
   病毒特征:

1、生成文件

   蠕虫运行后,会在%Windows%目录下生成一个随机命名的自身拷贝文件,同时在目录%Windows%中的临时文件夹中生成一个名为~DF7.TMP的动态链接库(DLL)组件。(其中,%Windows% 为操作系统的安装目录,通常为 C:\Windows 或 C:\WINNT)

2、修改注册表项

   蠕虫会创建注册表项,使得自身能够在系统启动时自动运行,会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run中添加
{蠕虫随机的文件名} = "{该文件名}",如disrr="disrr"

3、通过电子邮件进行传播

   蠕虫在被感染用户的系统内搜索多种扩展名的文件,找到电子邮件地址,并使用自带的SMTP向这些地址发送带毒的电子邮件。

4、利用Windows漏洞进行网络传播

   该蠕虫会利用Windows 的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞,可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时,该蠕虫通过利用受感染系统的漏洞发送数据包,并在一个特殊的位置创建自身的拷贝。

5、其他功能

   该蠕虫会编辑系统的HOSTS文件,该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站,以保护蠕虫自身,形成更大范围的扩散。

手工清除:

1、重启后进入安全模式;

2、打开任务管理器,找到病毒对应的进程(如disrr.exe),结
   束该进程;

3、打开注册表编辑器,找到注册表项
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
   CurrentVersion\Run,删除该项中的键值,如
   disrr="disrr";

4、清除HOSTS文件中的病毒键。使用文本编辑器(如记事本)打
   开如下文件:
   %System%\drivers\etc\HOSTS,删除HOSTS文件中有关反病毒
   的网址字符串,保存文件并关闭注册表编辑器。(其
   中,%System%通常为C:\Windows\System
   或 C:\WINNT\System32)

5、没有打LSASS漏洞补丁程序的计算机,立即给系统安装漏洞补
   丁。

本周发作:

病毒名称:“求职信”变种(Worm_Klez.C)
病毒类型:电子邮件蠕虫病毒
发作日期:6月13日
危害程度:病毒向外发送带毒邮件,终止反病毒软件的运行,并在13日用垃圾数据覆盖电脑中的有效数据。

专家提醒:

1、计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。

2、提醒广大计算机用户升级杀毒软件,启动“实时监控”和“个人防火墙”,做好预防工作。

3、由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。

 
期期必出30码网站