(2004年8月6日,北京)Evaman、Mydoom、Reign、Glieder……本周病毒表現極為活躍,,紛紛通過變種來迷惑用戶,並試圖躲過各種防毒產品的監視和查殺。考慮到郵件是病毒傳播的主要途徑,因此冠群金辰也提示廣大用戶要謹慎處理電子郵件,對於來源可疑的電子郵件,不要立即打開。
Win32.Evaman.C
病毒掃描:
Win32.Evaman.C是一個具有高普及度的蠕蟲病毒,是一個以upx格式壓縮的win32類可執行文件,也可能是附在郵件裡的ZIP文檔。初始運行時會打開記事本程序,然後將自己的WINTASKS.EXE復制到%System% 目錄下,並通過修改注冊表鍵值,使自己在每次重啟系統時自動運行。
Win32.Evaman.C通過郵件傳播,主要通過兩種途徑來收集郵件地址。第一種途徑是搜索當前計算機用戶的地址名冊,以及C:到Z:中含有adb、asp等擴展名的文件;第二種途徑是通過在email.people.yahoo.com搜索名稱列表來獲得地址。
蠕蟲發送的郵件通過蠕蟲存在的可變的信息體、主題、附件名稱和虛擬地址產生,主題通常為SN: New secure mail、Secure delivery等等,消息的主體會分為三個部分,附件名稱通常是mail、message、attachment等。
病毒危害:
Evaman.C會努力停止名字中含有uba、mc、Mc、av等的進程。如果該病毒在2006年1月1日或以後的日期運行,將會導致WINDOWS關閉或重新啟動,並會導致一些服務被終止。它用這個來代替它運行E-MAIL的程序,因此病毒在這個日期以後就不會傳播了。
病毒檢測/清除:
KILL安全胄甲inoculateIT v23.66.04 vet 11.x/8495 版可檢測/清除此病毒。
Win32.Mydoom.P
病毒掃描:
Win32.Mydoom.P是具有高度普及度和中度破壞性的蠕蟲病毒,通過郵件和攻擊後門進行傳播,是一個ASP壓縮的Win32可執行文件。運行時Mydoom.P將自己拷貝到%Windows%\java.exe。,並通過移動注冊表鍵值來確保每次系統運行時有病毒副本運行。
通過郵件傳播時,病毒會在所有固定驅動器中搜索含有.tx*、.wab*、.ph*等擴展名的文件夾中的郵件地址,同時還會通過搜索網站來貨的郵件地址,例如Lycos, Altavista, Yahoo 和 Google。結果所包含的數字是任意的從20、50或100中選擇。蠕蟲從contact、 "reply", "mail", "mailto", "email" 和 "e-mail"中選擇一個密碼並通過一個web頁面名使用它(病毒從當地的磁盤收集名稱)搜索鍵值。病毒保存結果到臨時文件夾並且利用常用的郵件地址發送文件到當地的計算機。
病毒危害:
Mydoom.P通過後門程序傳播時會創造一個後門程序,監視TCP的1034端口,並嘗試關閉rctrl_renwnd32、ATH_Note、IEFrame windows文件。
病毒檢測/清除
KILL安全胄甲inoculateIT v23.66.02 vet 11.x/8489 版可檢測/清除此病毒。
Win32.Reign.V
病毒掃描:
看著蠕蟲病毒的層起雲湧,特洛伊病毒也不甘寂寞。Win32.Reign.V就是一個具有中度破壞性的未被授權進入感染機器的後門特洛伊病毒。
當執行的時候,Reign.V將自己復制到\x0r\svshost.exe並修改注冊表以確保在每次機器開始的時候文件可以運行。它也會建立一個'x0r_wk1ffdsfsddas1m1ksdjfhsdk_ver1_1_1'的互斥體以確保每次只有一個副本在受感染的機器中運行。
病毒危害:
Reign.V 通過使用鍵盤記錄DLL asuigg.dll.來獲取用戶的按鍵。按鍵記錄到\x0r\_keys.log並通過郵件發送到特洛伊的控制器上,一次來盜取用戶的敏感信息。
同時該病毒還具有修改系統設置、創建後門、終止進程等危害。
病毒檢測/清除:
KILL安全胄甲 inoculateIT v23.65.88vet 11.x/8477 版可檢測/清除此病毒。