|
|
[这个贴子最后由一斛酒在 2004/07/21 03:52pm 第 1 次编辑]
http://www.china-infosec.org.cn/images/title_05.gif
一种来自德国的新变种病毒“培果病毒” (WORM_BAGLE.AD)目前利用电子邮件在全球互联网上蔓延,全球已有200起感染案例,英语语系的国家受害较严重。
这种新的变种“培果病毒”正利用电子邮件传播,首先是在韩国,继而蔓延到日本、美国、欧洲及我国台湾地区,传播速率惊人。
这种培果变种病毒是今年第三季的第一种大病毒。值得一提的是,这种病毒的内部代码中竟然留下了病毒作者的一首诗句,并署名2004年4月29日来自于德国。
这种病毒影响的操作系统包括微软Windows95/98/ME/NT/2000/XP等,网友必须特别小心来路不明的信件并且不要轻易开启以免中毒。
这种培果病毒信件的主题依然是“Hello”、“Hi”、“Thank You!!”等一般的标题,伪装成好友来信引诱网友上钩。虽然在手法上并无特别之处,但在全球造成感染的个数相当多,所以一般网友对于这样的病毒信件防御依然不够,造成病毒有机可趁。
http://www.china-infosec.org.cn/images/title_05.gif
“神气(Trojan.Azrael.12)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。
该木马病毒由“第八军团”编写,可实现多种危险远程操作功能。利用该病毒,攻击者可以完全控制被感染机器上的文件,对其进行删除、复制、粘贴、重命名、更改属性等操作。
病毒能够列出被感染系统里运行的程序,攻击者可以强制终止这些程序,造成系统运行异常。利用此病毒,攻击者可以浏览中毒机器的注册表内容,并对其进行简单修改。此病毒提供了屏幕控制功能,攻击者可以象操作本地机器一样控制远程染毒机器。
http://www.china-infosec.org.cn/images/title_05.gif
“埃文曼(I-Worm.Evaman.a)”病毒:警惕程度★★★,蠕虫病毒,通过邮件传播,依赖系统:WIN9X/NT/2000/XP。
该病毒采用VC++6.0语言编写,运行后把自己复制到系统目录下,病毒文件名为“wintasks.exe”,然后修改注册表实现开机自启动。病毒会随机产生电子邮件地址,然后利用预先设定的邮件发送服务器,向这些地址大量发送病毒邮件。病毒邮件的题目为:Delivery Status、failure delivery 、failed transaction 、server error等等,病毒附件名字为“body”、“message”、“returned”、“email”、“document”等。当收到可疑电子邮件时,请用户小心处理。
http://www.china-infosec.org.cn/images/title_05.gif
“传奇终结者变种PW(Trojan.PSW.LMir.pw)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2
000/XP。
运行后病毒把自己复制到系统目录下,文件名为“system32.exe”、“windows.exe”、“Microsoft.exe”,修改注册表实现开机自启动。可终止多种反病毒软件运行,如KV2004、天网防火墙个人版、天网防火墙企业版等等。
病毒会频繁查找“传奇客户端”,当用户登陆游戏的时候,试图窃取帐户、密码、游戏装备等等信息,并发送到特定邮箱。
http://www.china-infosec.org.cn/images/title_05.gif
“QQ尾巴变种CA(Trojan.QQ3344.ca)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。
运行后复制自身到系统目录和“Program filesInternet Explorer”、“Program filesWindowsMedia Player”,文件名分别为:“netdlls.exe”、“intdlls.exe”、“msgreats.exe”,修改注册表实现开机自启动。频繁查找QQ聊天窗口,在聊天内容的最后添加“你看这张照片好看吗”和网址,引诱QQ好友点击这些链接。
http://www.china-infosec.org.cn/images/title_05.gif
“瑞波变种CA(Backdoor.Rbot.ca)”病毒:警惕程度★★★,后门程序,通过局域网传播,依赖系统:WIN9X/NT/2000/XP。
运行后病毒会复制自己到系统目录,命名为“ISASS.EXE”,修改注册表实现开机自启动。试图与特定服务器建立连接,成功后可接受攻击者的远程控制命令。可通过局域网传播,建议用户采用复杂连接密码。病毒会记录中毒机器的键盘输入,把结果保存在系统目录的“keylog.txt”文件里,从而可以偷取用户的各种密码(如网络游戏、网络银行、QQ等)。病毒还可对指定机器进行SYN攻击,造成其崩溃。
http://www.china-infosec.org.cn/images/title_05.gif
“波特后门变种NY(Backdoor.SdBot.ny)”病毒:警惕程度★★★,后门程序,通过局域网传播,依赖系统:WIN9X/NT/2000/XP。
该病毒采用VC语言编写,运行后把自己复制到系统目录下,文件名为“surce.exe”。在注册表启动项下添加键值“SURCE.EXE”,从而实现开机自启动。利用自带的词典猜测其它主机的IPC密码,如果成功则把自己复制过去,开始新一轮的感染过程。病毒会以特定昵称加入其指定的IRC频道,为其控制端提供远程控制服务,以达到攻击者非法控制本地计算机的目的。
http://www.china-infosec.org.cn/images/title_05.gif
“波特后门变种NZ(Backdoor.SdBot.nz)”病毒:警惕程度★★★,后门程序,通过局域网传播,依赖系统:WIN9X/NT/2000/XP。
运行后,病毒把自己复制到系统目录下,文件名为“winupdate32.exe”。在注册表启动项下添加键值“Microsoft Synchronization Manage”,从而实现开机自启动。利用自带的词典猜测其它主机的IPC密码,如果成功则把自己复制过去,开始新一轮的感染过程。
病毒会以特定昵称加入其指定的IRC频道,为其控制端提供远程控制服务,以达到攻击者非法控制本地计算机的目的。记录键盘输入,保存到系统目录的“keylog.txt”文件,通过这种方式可以窃取用户的各种密码,如Windows登陆密码、邮箱密码、网络游戏的帐号和密码、网络银行密码等等。中毒机器将对指定机器发动SYN 攻击,造成其拒绝服务。
http://www.china-infosec.org.cn/images/title_05.gif
“戴德尔变种E(Worm.Dedler.e)”病毒:警惕程度★★★,蠕虫病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。
运行之后,复制自身为系统目录下的“CSMSS.EXE”文件。将由TCP端口5190连接 login.icq.com,可通过ICQ来接收下列命令:下载更新、执行命令、攫取信息等。病毒将会搜索网络资源,向打开的网络共享目录下写入如下文件:autorun.inf、uninstall.exe(病毒启动文件)、csmss.exe(病毒本身)。
http://www.china-infosec.org.cn/images/title_05.gif
“克林特(Trojan.Win32.Savech.a)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。
运行后病毒把自己复制到系统目录下,文件名为“afxclient.exe”。在注册表启动项下添加键值“afxclient.exe”,实现开机自启动。每隔1秒钟枚举所有窗口,记录窗口中的信息并用邮件发送出去,中毒系统可能会由于病毒的频繁活动,而变得运行缓慢。
http://www.china-infosec.org.cn/images/title_05.gif
“重启变种H(Trojan.Win32.Rebooter.h)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。
该病毒用VC语言编写,感染后修改注册表,在注册表启动项下加入恶意键值“Sdll32 : rundll32.exe user,exitWindows”,造成中毒电脑刚刚启动后就自动关闭。反病毒专家建议用户,在电脑启动时进入安全模式,即可用杀毒软件彻底清除此病毒。
http://www.china-infosec.org.cn/images/title_05.gif
“网吧传奇杀手(Trojan.PSW.LMir.qh)”病毒:警惕程度★★★☆,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。
此病毒采用VC++6.0语言编译,用aspack压缩,是一个盗取游戏网络游戏“传奇”详细信息的木马病毒,可以盗取的信息包括:游戏分区、服务器、帐号、密码、角色1的名称、等级、职业 角色2的名称、等级、职业、装备、背包、仓库、上线时间、修改密码、新密码、旧密码等。
据瑞星反病毒部门分析,“网吧传奇杀手”病毒破解了《传奇2》的加密解密算法,通过截取局域网中的数据包,然后分析《传奇》游戏通讯协议的方法截获用户的信息。恶意攻击者只要在网吧里假装上网,然后运行这个病毒,就可以获得整个局域网中传奇玩家的详细信息。专家提醒广大用户,在网吧等公共场所上网时,一定要选择有杀毒软件保护的正规网吧,以免自己的帐户被盗。
http://www.china-infosec.org.cn/images/title_05.gif
MSN“明天我结婚” 轰击机
此病毒于以往的MSN轰炸机略有不同,发送固定内容不会随病毒文件变化。此前,去年12月11日曾经截获功能相近的病毒(Flooder.Msn.Convont),运行后发送的内容为:“今天我请你吃饭”或者“i love you, my baby”或者“I love you.darling”等,此类程序都是MSN恶作剧病毒,对系统没有破坏作用,但却能让人不胜其扰。
http://www.china-infosec.org.cn/images/title_05.gif
“恶鹰变种AL(Worm.bbeagle.al)”病毒:警惕程度★★★★,蠕虫病毒,通过邮件和共享目录传播,依赖系统:WIN9X/NT/2000/XP。
一旦运行,病毒会创建多个互斥量,防止自身的其它版本重复感染。
修改注册表,使一些杀毒软件和病毒无法正常启动。遍历进程,终止多个杀毒软件的运行。试图把自己复制到带有字符串“shar”的目录下,这些目录一般是各种软件的共享目录,病毒借此传播自身。
病毒会打开一个后门,监听TCP 1080端口。在硬盘上搜索二十多种格式的常用文件,从中提取电子邮件地址,向这些地址大量发送病毒邮件。大量发送的电子邮件会严重消耗网络资源,影响人们的正常工作。
http://www.china-infosec.org.cn/images/title_05.gif
“五毒虫”
“五毒虫”综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒危害于一身,将对电脑用户造成严重危害。据率先截获此病毒的金山毒霸反病毒工程师介绍,中此毒后的计算机可能会出现如下的所有或任意一种现象:向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等。
据悉,这个病毒目前几乎应用了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样,极其讨厌。原因是很多病毒源代码在网上都有公布,此病毒作者将几个个危害严重的病毒代码重新组合编写,集五毒于一毒。
该病毒不仅可以中止各类杀毒软件进程,而且还可通过邮件大量传播,使更多用户受到感染。目前它可对系统造成更加严重威胁,不仅可打开系统后门让黑客更容易连结到用户计算机,拦截IE、QQ,网络游戏等应用程序,造成信息泄密。
另外,“五毒虫”病毒还会利用QQ发送带网址的消息,欺骗用户下载此病毒。
该病毒也利用邮件进行传播,并会发送大量的垃圾邮件。
该病毒变种已经频频出现,目前被已截获7类变种,并还有继续变化的可能。“五毒虫”对网络冲击巨大,可造成严重的网络堵塞,对于企业级用户,此病毒利用网络共享和漏洞传播的特性可造成局域网极不稳定,以及不能有效防毒的可能。
http://www.china-infosec.org.cn/images/title_05.gif
病毒名称:“捣毁者”(WM_ TRASHER.D)
病毒类型:宏病毒
发作日期:7月23日
危害程度:23日,病毒会修改文件AUTOEXE
C.BAT同时对硬盘进行格式化。
http://www.china-infosec.org.cn/images/title_05.gif
病毒名称:WM_TAMAGO.A
病毒类型:宏病毒
发作日期:7月26日
危害程度:病毒会在autoexec.bat文件。27日删除C盘中的所有文件。并在屏幕上显示一个信息框:"- TamAGoXi's NoTe X EtERnAl LoVE 2 mY LitTlE gIrl Gi OK"
专家提醒:
1、不要轻易下载和使用免费软件,如需下载,应到一些正规和大型的网站,并在确认无毒后,再进行安装和使用。更不要出于好奇去下载一些黑客木马程序,害人害己。
2、计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒大范围传播,造成更严重的危害。
3、定期升级杀毒软件和防火墙,并根据自身需求合理配置软件功能,使病毒防护产品发挥最大功效保护系统安全。
http://www.china-infosec.org.cn/images/title_05.gif
“瑞波变种CZ(Backdoor.Rbot.cz)”病毒:警惕程度★★★,后门程序,通过邮件和局域网传播,依赖系统:WIN9X/NT/2000/XP。
运行后,病毒把自己复制到系统目录下,文件名为“winudate.exe”。在注册表启动项下添加键值“Microsoft Update Machine”,从而实现开机自启动。利用自带的词典猜测其它主机的IPC密码,如果成功则把自己复制过去,开始新一轮的感染过程。
病毒会以特定昵称加入其指定的IRC频道,为其控制端提供远程控制服务,以达到攻击者非法控制本地计算机的目的。记录键盘输入,保存到系统目录的“keylog.txt”文件,通过这种方式可以窃取用户的各种密码,如Windows登陆密码、邮箱密码、网络游戏的帐号和密码、网络银行密码等等。中毒机器将对指定机器发动SYN 攻击,造成其拒绝服务。
http://www.china-infosec.org.cn/images/title_05.gif
“埃斯垂变种C(Worm.Xgtray.c)”病毒:警惕程度★★★,蠕虫病毒,通过邮件传播,依赖系统:WIN9X/NT/2000/XP。
VB编写的蠕虫病毒,通过邮件传播。病毒会在Outlook的地址簿里查找邮件地址,向其发送病毒邮件。邮件可能包含如下内容:“您要的资料”、“您要的资料在Document文件夹中,打开可以看到内容”,附件就是病毒。终止带有“注册表”、“配置”、“运行”、“优化”等字符的进程,可能造成系统运行异常。
http://www.china-infosec.org.cn/images/title_05.gif
“Bagle”
新版本的Bagle计算机病毒周一开始在上网的PC中传播,杀毒公司警告说,肯定会出现更多的变种。
一些杀毒公司将最新的变种称为“Bagle.AI”,还有些人则称为“Beagle.AG”。它是通过电子邮件附件传播的,打开后就能使用户的PC感染病毒。新变种与以前的版本很相像,但是采用了不同的压缩方法以便躲开防病毒措施。
赛门铁克高级经理奥利佛-弗雷德里希表示:“这看起来很像是有人拿走了源代码,进行了一些小的调整然后发布了出来。”赛门铁克对该病毒的危险评级为3(总共5分),McAfee认为Bagle.AI有中度威胁。
新变种是杀毒专家在一周内发现的第四种变种。本月初,病毒的作者发布了病毒的源代码和编辑指令,专家们相信这将导致很多变种。弗雷德里希说:“有了源代码,任何人都能调整并发布新变种,这大大降低了难度。”公开了源代码的计算机病毒Agobot有900多种变种。
与以前的版本一样,Bagle.AI试图停止250多种安全程序在计算机上的运行,试图通知近150家德国网站计算机被征服的消息。病毒还将在任何包含“shar”的文件夹中复制自己。
http://www.china-infosec.org.cn/images/title_05.gif
我国近期又出现了“爱之门”和“贝革热”病毒的新变种,提醒广大计算机用户注意防范。
“爱之门”病毒的新变种运行后常驻内存,并在windows文件夹、系统文件夹和C盘根目录下生成多个自身拷贝。同时对注册表进行多处改动,修改.txt(文本文件)的关联,使得用户在运行.txt的时候,实际上是在运行病毒。病毒可通过电子邮件进行传播,有可能以回复正常邮件的形式到达,病毒还有可能将发信人的地址伪装成hotmail、MSN、YAHOO、AOL等大公司的邮件地址。另外病毒可通过网络共享进行传播。
“贝革热”病毒在沉寂数日后,也出现了新的变种,提醒用户对电子邮件的处理一定要谨慎,不确定的附件应先对其进行检测,确定无毒后方可运行,同时要及时的升级杀毒软件,并启动“实时监控”和“邮件监控”功能。
病毒名称:“爱之门”病毒变种(Worm_Lovgate.AD) 病毒种类:蠕虫
感染系统:Windows95/98/Me/NT/2000/XP 病毒特性:
1、生成病毒文件
病毒会将大量可执行文件替换成病毒副本文件,并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。在%Windows%文件夹下生成:SVCHOST.EXE和SYSTRA.EXE。在%system%文件夹下生成:HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盘根目录下生成:AUTORUN.INF和COMMAND.EXE。
2、修改注册表
病毒在注册表中添加以下项目,使得自身能够作为服务运行:在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加SystemTra ="C:WindowsSysTra.EXE"COM++ System = "svchost.exe"
病毒在注册表中添加以下项目,使得自身能够随系统启动而自动运行,在HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows下添加run = "RAVMOND.exe" WinHelp = "C:WindowsSystem32TkBellExe.exe" Hardware Profile = "C:WindowsSystem32hxdef.exe" VFW Encoder/Decoder Settings ="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" MicrosoftNetMeeting Associates, Inc. = "NetMeeting.exe" rogram In Windows = "C:WindowsSystem32IEXPLORE.EXE" Shell Extension = "C:WindowsSystem32spollsv.exe" Protected Storage = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"
病毒修改以下注册表项目,这样一来,用户在运行.txt文本文件的时候,实际上就是在运行病毒拷贝:HKEY_CLASSES_ROOT xtfileshellopencommand default ="Update_OB.exe %1"(原始数值为%SystemRoot%system32NOTEPAD.EXE %1)HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommand default = "Update_OB.exe %1"(原始数值为%SystemRoot%system32NOTEPAD.EXE %1)
3、修改文件
病毒修改文件AUTORUN.INF[AUTORUN]Open="c:COMMAND.EXE"/StartExplorer
4、通过电子邮件进行传播
(1)病毒搜索系统邮箱,回复找到的电子邮件,并将病毒作为附件进行传播。
标题:Re: <邮件原始主题>
附件:存在多种形式,扩展名为.exe、.pif、.scrsong.MP3.pif
(2)病毒从下列扩展名的文件中搜索邮件地址:ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB,并向这些地址发送带毒的电子邮件。
病毒邮件特征如下:
发件人:
%病毒体内选取的特定字符%.aol.com
%病毒体内选取的特定字符%.hotmail.com
%病毒体内选取的特定字符%.msn.com
%病毒体内选取的特定字符%.yahoo.com
标题:<为下列之一> hi hello Mail Delivery System Mail Transaction Failed
内容:<可变>
附件:文件名为body、data、doc、document、file、message、readme、test、text或zge,扩展名为BAT、EXE、PIF、SCR或ZIP。病毒会避免向含有特定字符串的邮件地址发送带毒的电子邮件,这些字符串多与反病毒以及计算机安全相关。
5、通过网络传播
病毒会在Windows文件夹下创建一个名为"Media"的共享文件夹,并在其中生成自身的拷贝。病毒还会扫描本地网络的计算机,尝试通过密码探测进入 "Admin$"共享进行传播,一旦登录成功,病毒会在远程计算机的"Admin$System32"文件夹中生成自身拷贝,名称为"NETMANAGER.EXE"。
http://www.china-infosec.org.cn/images/title_05.gif
Windows CE病毒
BitDefender公司称,该公司发现了一种可以感染“Windows CE”操作系统的病毒,这是第一种可以感染这种手机操作系统的病毒。
“Windows CE”是微软用于智能手机和其它手持设备的操作系统。BitDefender称,它发现了一种攻击这种操作系统的概念验证型(proof-of-concept) 病毒。这种病毒的作者使用了假名子,是制作攻击Symbian操作系统的病毒的29A VX集团的成员。
BitDefender公司称,这是第一种已知的Windows CE病毒。没有联系上微软对此消息发表评论。
BitDefender公司的Viorel Canja在声明中说,同“Cabir”(针对Symbian操作系统的病毒)的作者一样,最初发现的这种病毒并不是要进行大规模的传播,而只是证明运行微软Windows CE操作系统的设备可以受到这种恶意代码的攻击。这种代码是首先发给杀毒专家的,而不是随意发布的。
一些分析师推测,手持设备、甚至IP电话都可能成为病毒作者的主要攻击目标。但是,到目前为止还没有爆发这种大规模的病毒感染。
用户需要下载一些软件防止“Cabir”病毒的感染。专家们已经作出结论称,这种病毒的流行已经为期不远了。这种Windows CE病毒显示一个信息框,要求用户允许它传播到其它文件。
尽管还很少有随意传播的这种病毒,杀毒公司和硬件厂商一直在准备一些能够使掌上设备更安全的的产品,以防止这种病毒的攻击。
反病毒专家建议:建立良好的安全习惯,不打开可疑邮件和可疑网站;关闭或删除系统中不需要的服务;很多病毒利用漏洞传播,一定要及时给系统打补丁;安装专业的防毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。
|
|
|小黑屋|《唐诗宋词》网站
( 苏ICP备2021032776号 )
IP卡
狗仔卡
发表于 2004-7-21 15:33
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2004-7-21 15:36