|
"KILL"今天紧急公布了本周的病毒预警报告:最近一周有2个蠕虫病毒异常活跃,它们是Bagle.AG和Lovgate.AV,他们其实就是臭名昭著的"博革热"和"爱情后门"的变种。
值得注意的是,Bagle.AG是通过电子邮件和点对点文件共享传播的蠕虫病毒。而Lovgate.AV则可通过邮件、网络共享、利用微软RPCSS弱点(MS03-039)或Kazaa网络文件共享等途径传播。Lovgate.AV可能存在于一个档案文件内部分布并可能假装成一个变体的病毒,且是以一个JDPack-packed的Win32可执行文件分布的。
对此,"KILL"紧急升级了病毒库,并提示广大用户要谨慎处理电子邮件,尤其是一些来源可疑的电子邮件,切勿轻易打开。
Win32.Bagle.AG
病毒扫描:
经过"KILL"的扫描分析发现,Win32.Bagle.AG是通过邮件和点对点文件共享传播的蠕虫病毒,感染该病毒的邮件通常主题为空,信息显示为"new price"或"price",附件则通常可包含"price.html"和"price.exe"两个文件的压缩文件。文件"price.exe"在"price"的压缩文件内部,而price.exe被执行时会自动拷贝自己到"%System%"地址目录中,并且留下由"_DLL.EXE"组成的DLL文件。
病毒危害:
Bagle.AG主要作用于WindowsXP/2000/NT等操作平台上,它是Bagle家族的新成员,可通过变化多端的电子邮件传播。为了扩大传播规模,这个恶意代码会在侵入用户计算机后自动搜寻特定文件里包含的邮件地址并利用自有的SMTP工具进行再发送。Bagle.AG的最大危害还在于它可终止一些防病毒或网络安全类工具的程序进程,使得计算机无法应对将来可能发生的各种病毒传播事件,同时它还会通过某些方式如发送信息等方式,试图链接某些运行PHP脚本的特定网页和进入Windows注册表删除诸如由"网络天空"等蠕虫病毒创建的键值。
此外,Bagle.AG蠕虫还会创造一些互斥体,以确保在受感染的系统内只有一个病毒的副本在运行,而倘若该病毒文件在2004年8月10日或之后执行,它则会首先从注册表中删除自身键值并中止运行,之后病毒将不会自动运行。
病毒检测/清除:
"KILL"建议用户尽快到KILL的官方网站(http://www.kill.com.cn/)下载升级包,对自己的电脑进行及时检测,彻底清除Bagle.AG蠕虫的隐患。
Win32.Lovgate.AV
病毒扫描:
今天"KILL"突然扫描到了可疑的Lovgate.AV蠕虫病毒,它正是今年7月6日曾大规模爆发的LovGate病毒的最新变种,具有很强的传染性和破坏性!
Lovgate.AV蠕虫病毒是通过邮件、网络共享、利用微软RPCSS弱点(MS03-039)和Kazaa网络文件共享传播的蠕虫病毒。它可能是在一个档案文件内部分布并可能假装成一个变体的病毒。该病毒是以一个JDPack-packed的Win32可执行文件分布的。
病毒危害:
Lovgate.AV蠕虫试图用两种不同的方式去感染机器。首先,它从C盘到Z盘开始查找,如果是可移动的、远程的或是固定的驱动器,病毒就会立即运行它的感染程序、目录和已被感染的可执行文件。这时,蠕虫会利用".ZMX"扩展名在相同的位置通过制作一个副本来保存原始文件。在系统目录中文件属性为隐藏和只读,原始文件已被覆盖,同时这个原始文件依然存在,所有尝试执行它的结果都意味着运行病毒。
Lovgate.AV蠕虫的病毒文件svchost.exe是一种寄生型病毒,寄生部分穿过从C到Z的驱动器(包括这些驱动器的所在目录)查找".exe"的文件以进行感染。但是,由于病毒代码里存在一个缺陷,这个感染机制不能起作用。
病毒检测/清除
KILL inoculateIT v23.66.02 vet 11.x/8489 版可检测/清除此病毒。
|
