国家计算机病毒应急处理中心通过监测,发现近期"爱之门"病毒的变种(Worm_Lovgate.AF),传播较为广泛,该病毒通过电子邮件附件的形式发送,大小约为128k,希望引起用户的注意,遇到此类邮件立即删除。病毒还可通过网络共享进行传播。
病毒名称:"爱之门"(Worm_Lovgate.AF)
其他命名:W32.Lovgate.AC@mm (赛门铁克)
W32/Lovgate.ai@MM (Kaspersky)
Worm.Lovgate.af.enc (瑞星)
WORM_LOVGATE.AG (趋势)
病毒类型:蠕虫
病毒长度:131,072 字节
受影响的系统:Windows 95/98/Me/NT/2000/XP/2003
病毒特征:
1、 生成病毒文件
病毒运行后,在系统中生成多个文件,
%Windows%\CDPlay.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\WinHelp.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll(该文件属性为隐藏)
(其中,%Windows%通常为C:\Windows或C:\Winnt,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、 修改注册表
病毒对注册表进行修改,使得在下次系统启动时,病毒可随之自动运行
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = "RAVMOND.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\runServices
"COM++ System" = "exploier.exe..."
"SystemTra" = "%windows%\CDPlay.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Winhelp" = "%system%\TkBellExe.exe..."
"Hardware Profile" = "%system%\hxdef.exe..."
"Program in Windows"="%system%\IEXPLORE.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Program In Windows = "C:\ %System%\IEXPLORE.EXE"
病毒修改注册表项,使得txt文件运行时病毒随之运行
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "Update_OB.exe %1..."
3、 过电子邮件进行传播
病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从多种扩展名的文件中搜集邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。
病毒发送的邮件特征如下
主题:(为下列之一)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
内容:(为下列之一)
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附件名称:(为下列之一)
document
readme
doc
text
file
data
test
message
body
附件的扩展名:(为下列之一)
bat
cmd
exe
pif
scr
4、 通过网络共享传播
病毒将自身拷贝到网络中的共享文件夹,用以传播
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
5、 阻止安全软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
Duba
KAV
本周发作:
病毒名称:"里拉"( Worm_Livra.A)
病毒类型:蠕虫病毒
发作日期:9月11日
危害程度:病毒打开网页http://www.avril-lavigne.com,在屏幕中央显示椭圆图案,并在屏幕的左上角显示以下信息"AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg"。
专家提醒:
1、 不要随便登录不明网站,一些不正规的网站缺少必要的安全措施和管理,比较容易被病毒感染,成为病毒传播的又一途径。如出现IE起始页面被更改或桌面上出现不明链接且无法删除等异常症状,应先断开网络,再进行病毒的查杀工作。
2、 因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件,并及时修补漏洞,堵住病毒入口。
国家计算机病毒应急处理中心
Http://www.antivirus-China.org.cn
(T101)
|
