病毒预警:光华反病毒资讯(10月9日－10月15日)

光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介：

一、网络病毒：W32.Looked.AO 危害级别：★★★★☆

  根据光华反病毒研究中心专家介绍，这是一个网络蠕虫病毒，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它降低系统安全设置，感染本地和网络共享目录中的可执行文件，下载传播其他病毒文件，当收到、打开此病毒后，有以下现象:

A 复制自身到windows目录下为 rundl132.exe 和 Logo1_.exe
B 生成文件 Dll.dll，下载传播其他病毒文件
C 生成文件 C:\1.txt
  windows目录\0Sy.exe
  用户目录\Local Settings\Temp\$a5.bat
  用户目录\Local Settings\Temp\$ab.bat
D 如果注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW 中有键值 "auto" = "1" 退出
E 如果注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 中有键值 "ver_down0" = "[下载的文本]" 退出
F 创建 D、E 中的键值
G 创建注册表项 "load" = "%Windir%\rundl132.exe" 到
  HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
  使得病毒每次开机后自动执行
H 结束以下进程
  RavMon.exe
  EGHOST.EXE
  MAILMON.EXE
  KAVPFW.EXE
  IPARMOR.EXE
  Ravmond.EXE
  regsvc.exe
  RavMon.exe
  mcshield.exe
I 停止 Kingsoft AntiVirus Service 服务
J 将 Dll.dll 插入到进程 iexplorer.exe 和 explorer.exe 中
K 从网上下载 7 个病毒并执行
L 将下载的病毒保存到 windows 目录的文件并命名为 0Sy.exe 等
M 搜索C盘到Y盘中的所有exe文件并感染
N 搜索网络共享目录中的所有exe文件并感染
O 通过 ICMP 协议，发送数据包 Hello,World
P 每感染一个文件夹后，在文件夹中创建文件 _desktop.ini ，保存病毒感染的日期，设置为隐藏系统属性
Q 排除以下文件夹不感染
  system
  system32
  windows
  Documents and Settings
  System Volume Information
  Recycled
  Windows NT
  WindowsUpdate
  ComPlus Application
  NetMeeting
  Common Files
  Messenger
  InstallShield Installation Information
  Microsoft FrontPage
  Movie Maker
  MSN Gaming Zone
R 设置音量为 0 (使用户听不到杀毒软件的报警声)
S 关闭杀毒软件报警窗口
 

二  木马病毒 Trojan.Ruspy!doc 危害级别：★★★★☆

    根据光华反病毒研究中心专家介绍，Trojan.Ruspy!doc 是一个木马病毒，长度 159,744 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，它生成木马病毒，降低系统安全设置。当染毒文件被执行时，有以下现象:

A 生成病毒 C:\[随机名].exe 并执行
B 修改
  HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security
  HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security
  HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security
  HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Security
  HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Security
  中的键值 "Level" 为 "1"
  降低系统安全设置
C 修改
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  中的键值"1201" 为 ""
  降低系统安全设置

    北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到10月9日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。