本文章所属钓区:其他(5633) 本主题文章来自原老网社区(后台)『 电脑与网络 』,原作者是 大小统杀,因数据合并原因可能与原作者不符,特此说明。 |
国家计算机病毒应急处理中心通过对互联网的监测,发现病毒
"WORM_ScardSer.A"。该病毒利用阿拉法特逝世的消息来引诱用户,运行病毒附件,进行传播。信件的标题为"Latest News about Arafat!!(阿拉法特的最新消息!!)",其内容为" Hello guys!Latest news about Arafat!Unimaginable!!!!! "(嗨伙计们,最新的阿拉法特新闻!太不可思议了!),邮件带有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件。另一个附件为ARAFAT_2EMF,该文件可以利用微软漏洞。当附件被打开后,上述文件会在受感染的系统中生成一份自身拷贝。该病毒还可利用网络共享进行传播。希望广大用户留意此类邮件,不要出于好奇运行附件,形成感染。
病毒名称: WORM_ScardSer.A
其他病毒名:WORM_GOLTEN.A(Trend Micro)
W32.Scard(Symantec)
Worm/Alert.a(江民)
Worm.SCardSer(瑞星)
感染系统:Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003,
Windows XP
病毒特征:
1、生成病毒文件
病毒运行后在%System%目录下生成ALERTER.EXE、COMWSOCK.DLL、DMSOCKDLL、 IETCOM.DLL、SCARDSER.EXE、SPTRES.DLL。(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon下创建Shell = "Explorer.exe"
病毒还会生成如下注册条目,以便能够下载远程文件,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 下创建
Dfile = "http://www.abost.com/update/031.exe"
3、通过电子邮件传播
病毒电子邮件特征如下:
主题: Latest News about Arafat!!!
正文:
Hello guys!
Latest news about Arafat!
Unimaginable!!!!!
该病毒含有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件,显示内容如下:另一个附件为ARAFAT_2.EMF,该文件包含了可以利用微软Windows XP Metafile Heap Overflow的漏洞。当附件被打开后,上述文件会在受感染的系统中生成一份自身拷贝。
4、通过网络共享传播
病毒会尝试通过网络共享驱动器传播,它会在默认的网络文件夹ADMIN$和IPC$中运行病毒自身的拷贝。病毒会尝试使用自带的密码列表连接网络共享驱动器,来实施进一步的传播。
5、病毒运行
当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒会在系统中生成如下进
程: LSASS.EXE、EXPLORER.EXE 。病毒还会安装.DLL文件,此文件会从远程位置下载其他组件并可用于自身传播。病毒会添加注册表项目,用于初始化远程文件下载。
手工清除该病毒的相关操作:
1、删除恶意文件
右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。在名称输入框中, 输入:COMWSOCK.DLL、DMSOCK.DLL、IETCOM.DLL、SPTRES.DLL ,找到该文件然后选择删除。
2、修复注册表
打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>WindowsNT>
CurrentVersion>Winlogon ,找到右侧面板中Shell = "Explorer.exe",并将其删除。
依次双击左边的面板中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ,找到右侧面板中的Dfile = "http://www.abost.com/update/031.exe",并将其删除。
3、修补系统漏洞
Microsoft Security Bulletin MS04-032,到以下网址下载该漏洞的补丁程序
http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx
专家提醒:
1、安装正版的杀毒软件和防火墙,局域网要安装企业版的产品,根据自身要求进行合理配置,经常升级并启动"实时监控"系统,充分发挥安全产品的功效。在杀毒过程中要全网同时进行,确保彻底清除。
2、不要轻易登陆不明网站,也不要随意下载使用软件,在安装使用下载的软件和程序前要确认无毒才能运行,因为很多黑客和木马会嵌入在一些应用程序中,在用户下载和安装使用这些程序时,注入到用户的机器中,并窃取用户数据和重要信息。
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址:Http://www.antivirus-China.org.cn
电话:022-66211488/66211489/66211490 转 8017
传真:022-66211487
电子邮件:sos@antivirus-China.org.cn
security@tj.cnuninet.net
|
|
本主题相关历史评论如下: ------------------------------ 31983、2004-12-10 20:47:00 苦竹 发表如下评论: 只要是.EXE类型的文件附件的不熟悉邮件,我都是直接删除信件 ------------------------------ 本文地址:http://bbs.oldfisher.com/show_i48552.html 本文章由oldfisher于2006-2-8 0:00:13最后编辑过
|
bbs_oldfisher于2004-12-8 18:55:00
原创
发布 阅读指数:729〖大 中 小〗〖关闭〗
