光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、邮件病毒:W32.Beagle.FN@mm 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个邮件病毒,长度 229,892 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它降低系统安全设置,使用自带的邮件发送引擎传播,下载执行其他病毒文件,当收到、打开此病毒后,有以下现象:
A 增加注册表项
"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn2.exe"到 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动执行
B 生成文件
用户目录\Application Data\hidn\hidn2.exe - Copy of the worm
用户目录\Application Data\hidn\m_hook.sys - Detected as Trojan.Rootserv
系统盘\error.gif - Clean file
系统盘\temp.zip - Password protected zip file containing a copy of the worm and a clean dll file
C 增加键值 "FirstRun" = "1"
到 HKEY_CURRENT_USER\Software\FirstRuxzx
D 创建健值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_M_HOOK
安装木马
E 删除注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
F 通过连接 smtp 服务器 smtp.mail.ru 的 TCP 端口 25,测试网络连接
G 连接服务器 google.com
217.5.97.137
H 连接以下地址,下载邮件列表,保存到 windows目录下的文件 elist.xpt
http://www.titanmotors.com/images/1/eml.[已删除]
http://veranmaisala.com/1/eml.[已删除]
http://wklight.nazwa.pl/1/eml.[已删除]
http://yongsan24.co.kr/1/eml.[已删除]
http://accesible.cl/1/eml.[已删除]
http://hotelesalba.com/1/eml.[已删除]
http://amdlady.com/1/eml.[已删除]
http://inca.dnetsolution.net/1/eml.[已删除]
http://www.auraura.com/1/eml.[已删除]
http://avataresgratis.com/1/eml.[已删除]
http://beyoglu.com.tr/1/eml.[已删除]
http://brandshock.com/1/eml.[已删除]
http://www.buydigital.co.kr/1/eml.[已删除]
http://amaramafra.sc.gov.br/1/eml.[已删除]
http://camposequipamentos.com.br/1/eml.[已删除]
http://cbradio.sos.pl/1/eml.[已删除]
http://c-d-c.com.au/1/eml.[已删除]
http://www.klanpl.com/1/eml.[已删除]
http://coparefrescos.stantonstreetgroup.com/1/eml.[已删除]
http://creainspire.com/1/eml.[已删除]
http://desenjoi.com.br/1/eml.[已删除]
http://www.inprofile.gr/1/eml.[已删除]
http://www.diem.cl/1/eml.[已删除]
http://www.discotecapuzzle.com/1/eml.[已删除]
I 搜索以下扩展名中的邮件地址
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
J 排除含有以下字符串的邮件地址
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
K 将病毒自身(保存在temp.zip 文件中) 发送到上述地址
邮件的特性如下:
发信人: [随机名称]
主题: [随机名称]
内容:
The password is: [图片名称]
Password -- [图片名称]
Use password [图片名称]
Password is [图片名称]
Zip password: [图片名称]
Zip archive password: [图片名称]
Password - [图片名称] to open archive.
Password: [图片名称]
附件: [随机名称].zip
[随机名称]为以下之一:
Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Christean
Christian
Constance
Cybil
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede
To the beloved
安全中国首页 > 新闻中心 > 日月光华新闻