当前位置:首页>安全专题>安全预警>文章内容
光华反病毒资讯(01月08日-01月14日)
出处: 光华反病毒 作者:佚名 责任编辑:永恒 2007-01-09
光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站下载升级包,以下是几个重要病毒的简介:
一、W32病毒:W32.Spybot.ANJJ 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个W32病毒,长度 73,154 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它利用系统漏洞,通过破解网络共享弱口令和mIRC传播。当收到、打开感染此病毒时,有以下现象:
A 复制自身到
Windows目录\mshelpdsk.exe
B 增加注册表键值 "Microsoft Helpdesk Side"="mshelpdsk.exe" 到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\OLE
使得病毒每次开机后自动执行
C 创建文件c:\symantc.exe
和 Windows目录\SMonitor.sys
D 插入c:\symantc.exe到rookit组件,隐藏病毒进程,删除rookit组件
E 创建服务 SMonitor 加载 SMonitor.sys
F 打开后门连接到IRC服务器livepm.hanashteam.com的TCP端口2211
G 供黑客进行以下操作
复制删除文件 下载文件 显示状态 显示 IP 地址 对本地网络中的所有计算机进行端口扫描 扫描漏洞 启动 ftpd 启动 IE 结束进程 停止其他蠕虫 停止安全服务 列出进程 进行网络嗅探
H 利用以下漏洞破坏和传播
分布式组件接口缓冲区溢出 MS03-026 参见 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
ASN.1库多重堆栈溢出漏洞 MS04-007 参见 http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx
Microsoft Security Bulletin MS04-011 参见 http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
CVE-2006-2369 参见 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2369
Symantec Advisory SYM06-010 参见 http://securityresponse.symantec.com/avcenter/security/Content/2006.05.25.html
Microsoft Security Bulletin MS02-061 参见 http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx
I 试图通过IRC和网络共享弱口令传播
二 邮件病毒 W32.Lokkest.A@mm 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个邮件病毒,长度 181,194 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个病毒被黑客用来窃取信用卡和储蓄卡信息,当含有病毒的邮件附件被打开时,有以下现象:
A 在系统目录下创建文件 dllcache\mutex.exe
B 创建注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_MUTEX_OBJECT HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Mutex Object HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MUTEX_OBJECT HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Mutex Object
C 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
的 "restrictanonymous" = "1" 禁止空枚举
D 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
的 "EnableDCOM" = "N" 禁止DCOM
E 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
的 "lmcompatibilitylevel" = "1"
F 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
的 "Start" = "4"
G 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
的 "Start" = "4"
H 创建服务 Windows Mutex Object
I 收集以下扩展名文件中的邮件地址
.jsp .php .txt .asp .shtm .htm
J 使用自带的邮件引擎将病毒自身作为附件发送给收集到的地址,邮件特征为
主题(以下之一)
hey remember me? You have 1 day left Re: Details Your IP was logged Re: Thank you
内容(以下之一)
just look it Details are in the attached document. You need Microsoft Office to open it. Information about you Something about you Take it, and mail me back to tell what you think about it!
附件名(以下之一,带有.scr的第二扩展名)
picture2393.jpg maildocument.doc document.doc log.txt my_picture.jpg picture_pack.rar maildocument.rar document.rar logfile.rar zipfile.rar
K 通过以下聊天工具传播
雅虎通 MSN AOL ICQ
L 通过SQL和网络共享弱口令漏洞传播
Symantec Advisory SYM06-010 见 http://securityresponse.symantec.com/avcenter/security/Content/2006.05.25.html
Bugtraq ID 17978 见 http://www.securityfocus.com/bid/17978
Microsoft Security Bulletin MS06-040 见 http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx
Microsoft Security Bulletin MS04-007 见 http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx
M 停止以下服务
Panda Antivirus Norton AntiVirus Auto Protect Service Mcshield
N 关闭含有以下字样的窗口
Ad-aware spyware hijack kav norton mcafee f-pro lockdown firewall blackice avg vsmon zonea spybot nod32 reged avp troja viru anti
O 连接 IRC 服务器 link.hottest.es 等待黑客访问和执行以下命令
记录键盘操作 记录网络操作 下载执行文件 作为代理服务器 获得MSN口令
P 修改以下文件
TCPIP.SYS dllcache\TCPIP.SYS ServicePackFiles\i386\TCPIP.SYS
北京日月光华软件公司网站每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到1月8日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。
下一篇:近日需及时更新杀毒软件拒绝熊猫烧香
本文网友评论共(0)条,显示最新5条 进入查看全部评论
