文章中心 -> 软件资讯

文章正文

光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:

  一、W32病毒:W32.Looked.AH 危害级别:★★★★☆

  根据光华反病毒研究中心专家介绍,这是一个W32病毒,长度 45,147 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,利用局域网共享传播,感染可执行文件,当收到、打开此病毒后,有以下现象:

  A 复制自身到Windows目录下创建文件"rundl132.exe" 和"Logo1_.exe"

  B 在 Windows 生成文件 Dll.dll 用于下载执行新病毒

  C 创建以下文件

  C:\1.txt

  Windows目录 0Sy.exe

  用户目录 Local Settings\Temp\$$a5.bat

  用户目录 Local Settings\Temp\$$ab.bat

  D 检查以下注册表

  HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\"auto" = "1"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\"ver_down0" = "[从 http://lele.0451.net/gua/3in下载的文本]"

  如果不存在,病毒创建这些值

  E 增加"load" = "%Windir%\rundl132.exe"

  到注册表

  HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

  使得病毒每次开机后执行

  F 结束以下进程

  RavMon.exe  EGHOST.EXE  MAILMON.EXE  KAVPFW.EXE  IPARMOR.EXE  Ravmond.EXE  regsvc.exe  RavMon.exe  mcshield.exe

  G 停止以下服务

  Kingsoft AntiVirus Service

  H 插入Dll.dll 到 iexplorer.exe 和 explorer.exe

  I 从lele.0451.net/gua/3in下载文件保存到windows目录的0Sy.exe

  J 搜索所有的.exe文件并感染

  K 搜索所有局域网络共享中的.exe文件并感染

  L 通过 ICMP 发送 "Hello,World".

  M 定时将音量关闭到0

  N 搜索标题为"AVP.AlertDialog"的窗口,点击按钮“允许”和“跳过”

  O 在所有的目录下生成 _desktop.ini 文件,设置内容为自动执行病毒

  P 排除感染含以下文件名和路径的文件

  system  system32  windows  Documents and Settings  System Volume Information  Recycled  Windows NT  WindowsUpdate  ComPlus Application  NetMeeting  Common Files  Messenger  InstallShield Installation Information  Microsoft FrontPage  Movie Maker  MSN Gaming Zone

  Q 避免感染长度大于 16,777,216 的文件

  二 木马病毒 Trojan.Zonebac危害级别:★★☆☆☆

  根据光华反病毒研究中心专家介绍,这是木马病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,降低 IE 安全区域设置,当打开此病毒文件后,有以下现象:

  A 搜索并结束以下进程

  firewallntservice.exe  spysweeper.exe  spysweeperui.exe  ssu.exe  wdfdataservice.exe  webrootdesktopfirewall.exe  isafe.exe  vsmon.exe  zlclient.exe

  B 增加"Lexmark_X79-55" = "%System%\lsasss.exe"

  到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  使得病毒每次开机后自动执行

  C 搜索注册表

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  中的所有项,将其中的内容替换成自身,将原来的文件改名为*.bak

  使得病毒每次开机后再次自动执行

  D 复制自身到系统目录的 lsasss.exe

  E 在临时目录下创建文件 abc123.pid 和 abc123.dat

  F 获取默认浏览器,成功后启动隐藏的进程访问

  http://88.80.5.21/check/check[已删除]  http://221.231.140.49/check/check[已删除]  http://222.38.148.30/check/check[已删除]

  G 创建注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\me

  H 修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 中的以下值,降低安全区域设置

  "CurrentLevel" = "10000"  "MinLevel" = "10000"  "RecommendedLevel" = "10000"  "Flags" = "43"  "1001" = "0"  "1004" = "0"  "1200" = "0"  "1201" = "0"  "1206" = "0"  "1400" = "0"  "1402" = "0"  "1405" = "0"  "1406" = "0"  "1407" = "0"  "1601" = "0"  "1604" = "0"  "1605" = "0"  "1606" = "0"  "1607" = "0"  "1608" = "0"  "1609" = "1"  "1800" = "0"  "1802" = "0"  "1803" = "0"  "1804" = "0"  "1805" = "0"  "1806" = "0"  "1807" = "0"  "1808" = "0"  "1809" = "0"  "1A00" = "0"  "1A02" = "0"  "1A03" = "0"  "1A04" = "0"  "1A05" = "0"  "1A06" = "0"  "1A10" = "0"  "1C00" = "30000"  "1E05" = "30000"  "2000" = "0"  "2001" = "0"  "2004" = "0"  "2100" = "0"  "2101" = "1"  "2102" = "0"  "2200" = "0"  "2201" = "0"  "2300" = "1"

  北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到9月18日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。

文章来自绿盟(xDowns.com)转载请注明来路。



上一篇文章:流氓软件及反流氓软件的技术分析 []

相关文章

相关软件

  • 64位光华反病毒软件(IA64) 2009.06.01
  • 光华反病毒Linux版 2010.05.01
  • 光华反病毒命令行版 2010.05.01 绿色版_光华免费的命令行下杀毒软件
  • 《光华反病毒软件》防火墙体验版 V0313
  • 光华反病毒离线累积升级包 a080223a