情人节期间爆发病毒:
情人节"病毒(VBS_Valentin)
爱虫(Vbs.loveletter)
罗米欧与朱丽叶(Worm.Blebla)
情人节宏病毒
屏幕保护病毒变种(I-Worm/Opaserv.q)
"好来坞"病毒变种(W32/HLLW.Maax)
一年一度的情人节就要到了,在这个爱人间相互表达爱意的日子里,定要谨防爱虫病毒重现江湖。"爱虫"病毒是一个典型的email网络病毒,它籍由互联网传播,传播速度非常快,受病毒感染的电脑将按照OUTLOOK中的名单发送大量的主题为"I Love You"、附件为"LOVE-LETTER-FOR-YOU.txt.vbs(献给你的情书)"的邮件,该病毒第一次出现是在2000年6月,它造成全球经济损失达70亿美元。在情人节里,主题为"I Love You"的邮件很可能被毫无防范的打开,这给该病毒创造了一个非常好的环境。
如果收到主题为"ILoveYou"的电子邮件,可先别忙着欣喜。或许您就遇到了能导致整个网络系统崩溃的病毒。据反病毒专家介绍,爱虫(Vbs.loveletter)病毒通过MicrosoftOutlook电子邮件系统传播,邮件主题为"ILoveYou",包含一个病毒附件_"Love-Letter-for-you.txt.vbs"。一旦打开此病毒附件,该病毒便会自动复制并向通讯簿中的所有电子邮件地址发送病毒邮件,从而造成邮件系统变慢,甚至导致整个网络系统崩溃!同时它还感染并破坏文件名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。
将于2月10日至2月16日发作的病毒,几乎一律"含情脉脉"。"情人节"(Vbs.valentin)病毒将会复制自己到系统目录下,修改注册表进行自启动,病毒还启动自身的监控系统保护自己,通过系统漏洞在网络上大量传播。而名为"罗米欧与朱丽叶"的病毒,(Worm.Blebla)可以通过邮件传播,附件有两个,一个是名为罗米欧的蠕虫病毒,一个是名为朱丽叶的脚本病毒,当用户不小心观看了病毒信件,整个电脑便会被这对"情侣"占据。
专家提醒,无论是春节上网还是即将开始工作,用户都需要及时将软件升级。并小心病毒"甜言蜜语"的诱惑。
识别爱虫病毒非常简单,"I LOVE YOU"病毒的特征如下:信件标题为"I LOVE YOU"(我爱你)的电子邮件,附加档案为"LOVE-LETTER-FOR-YOU.txt.vbs"(献给你的情书)。信件内容:
"kindly check the attached LOVE LETTER coming from me"。
1、情人节病毒扎堆江民截获可自相残杀的新病毒
2月11日,江民公司成功截获"屏幕保护"(也称硬盘杀手)的最新变种病毒I-Worm/Opaserv.q。该变种病毒可删除原来流行的"屏幕保护"病毒,而且还会自动从一个指定的网站进行自身升级,以躲避反病毒软件的查杀。
江民反病毒专家介绍,该变种病毒可以通过网络共享以及逻辑C盘,在所有的WINDOWS平台下运行传播感染,并象其他蠕虫病毒一样修改系统注册表,使得每次启动系统时都能自动运行。
该变种病毒删除原"屏幕保护"病毒的步骤如下:
该网络蠕虫病毒一旦被执行,就会首先检查电脑系统是否感染了"屏幕保护"病毒,如发现电脑中存在"屏幕保护"病毒,则立刻进行删除,被删除的程序中包含WINDOWS目录下的三个可执行文件scrsvr.exe,alevir.exe以及brasil.exe。
随后该变种病毒则连续产生感染、查找以及自动升级三个线程:
第一个线程是感染线程,由该变种病毒自身创建,感染的对象是同一个域中的其他机器,只要有写权限的机器,该病毒都能感染。该病毒之所以能感染主要是利用了共享级别的WINDOWS密码口令的漏洞来感染其他机器的,正是由于有此安全漏洞,使得WINDOWS/95/98/ME的系统即使共享目录被密码保护也能感染该病毒。
第二个线程是查找线程:主要功能是查找网络共享的C盘的根目录。该线程反复搜索同一域里的C盘的根目录,并反复搜索。一旦搜索到共享寻址的响应,该变种病毒的第一线程启动,利用WINDOWS可能存在的漏洞进行传播、感染。
第三个线程就是升级线程:和许多的"杀病毒程序"一样,该线程可以自动从一个指定的网站上来升级网络蠕虫自身,以躲避反病毒软件对其的查杀。
从以上对该病毒的分析不难看出,"变化莫测"已成为今后网络蠕虫病毒发展的一个新特性。时下虽然距离西方情人节,还有几天的时间,但是在网络上针对情人节的病毒,已扎堆出现并开始蔓延。江民反病毒专家提醒用户,虽然当前的反病毒软件的对"爱虫"、"情人节"、"罗米欧与朱丽叶"等老病毒,能进行有效地查杀清除,但用户在收发电子邮件,仍要多加小心。重大节假日是电脑病毒的多发期,真正应提防的是更具杀伤力的新病毒以及老病毒变种出现。
2、爱虫(Vbs.loveletter)
蠕虫类脚本病毒。它对电子邮件系统产生极大的危险性。通过Microsoft Outlook电子邮件系统传播,邮件主题为"I Love You",包含一个病毒附件("Love-Letter-for-you.txt.vbs")。一旦打开此病毒附件,该病毒便会自动复制并向通讯簿中的所有电子邮件地址发送病毒邮件,从而造成邮件系统变慢,甚至导致整个网络系统崩溃!同时它还感染并破坏文件名为*.VBS、*.HTA、*.JP G、*.MP3等十二种数据文件。
"爱虫"病毒的相关技术资料及解决办法
VBS_LOVELETTER
破坏性:高破坏性
别名:LOVELETTER, Love Bug, Very Funny
描述:
该病毒是用VBScript编制的,其传播机理和"梅莉莎"类似,都是通过Microsoft Outloo k发送带附件名为"LOVE-LETTER-FOR-YOU.TXT.vbs"的邮件给用户地址簿里所有的地址来传播的,主题为"I LOVE YOU",主体为"kindly check the attached LOVELET TER coming from me(译:请您收下这份情书)",另外一个带毒的附件。LOVELETTER还可以通过修改mIRC的"script.ini."文件,当用户通过mIRC连接到服务器时,病毒启动DCC给当前频道的所有用户发送一个名为"LOVE-LETTER-FOR-YOU.HTM"的附件已达到传播的目的。
该病毒带有发作破坏模块,它会用病毒代码覆盖特定扩展名的文件,这样病毒源代码就取代了宿主文件而保留在文件中了。
3、情人节"病毒(VBS_Valentin)
这个病毒出自病毒VBS/San@M作者之手,因为该病毒能够将IE的起始页设置为一个西班牙站点,这一点很像VBS/San@M。
此病毒将自身隐藏在一个HTML文件中,利用了Vbscript.Encode方式对自身代码进行加密,并利用了一个叫"Scriptlet.TypeLib"的漏洞。
当病毒代码被执行时,它将自身拷贝到
c:\WINDOWS\Start Menu\Programs\Startup\loveday14-b.hta,如果当前Windows的版本为西班牙版本,则病毒将自身拷贝到相应的c:\WINDOWS\Men?Inicio\Programas\Inicio\loveday14-b.hta下,同时在Windows\System目录下创建文件main.html。
当系统重新启动后,loveday14-b.hta将被执行并显示包含下面内容的消息框,标题为MSDOS.EXE:
病毒将自身发送给Outlook地址簿中的所有地址,邮件的主题行为空,并且该邮件不带附件,邮件主体是HTML格式的文件其中隐藏着病毒代码。
该病毒还企图向一些随机手机发送邮件信息,这些手机地址属于一家西班牙电信提供商。
邮件内容如下:
主题:"Feliz san valentin"
消息主体:"Feliz san valentin. Por favor visita" (followed by a link to a Spanish
website, infected by the virus author.)
该病毒还试图以"main.html"的形式通过mIRC发送自己。
如果当前日期为8,14,23,或29,病毒将用西班牙语的文本覆盖用户C盘上的所有文件,被覆盖的文件在保持原有文件名的基础上添加了一个.TXT扩展名。(例如原C盘下的command.com文件将变为comand.com.txt)。
这些被覆盖的文件中包含下面的文本:
Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi
amora Davinia, la chica mas guapa del mundo.
Feliz san Valentin Davinia. Eres la mas bonita y la mas simpatica.
Todos los dias a todas horas pienso en ti y cada segundo que no te
veoes un infierno.
Quieres salir conmigo?
En cuanto a ti usuario, debo decirte que tus ficherosno han sido
contaminados por un virus,sino sacralizados por el amor que siento
por Davinia.
一些隐藏部分的代码如下:
"Que cosa mas tonta".
"loveday14 by Onel2 Melilla, Espa馻"
"feliz san valentin davinia""
4、罗米欧与朱丽叶(Worm.Blebla)
蠕虫病毒。它通过邮件传播,附件有两个,一个是名为罗米欧的蠕虫病毒,一个是名为朱丽叶的脚本病毒,当用户不小心观看了病毒信件,整个电脑便会被这对"情侣"占据。
5、关于情人节宏病毒
从2000年底就不断出现一些现象,许多用户开机后屏幕上会显示(圣诞节快乐)"Meny Chnstmat"到了元旦时就会显示"Happy new yeay"(新年快乐),到了情人节就会显示"Happy valentines day"(情人节快乐)这是一种Word宏病毒。
遇到上述情况,用Kv江民杀毒王2003可直接清除这种病毒。但开机后还会显示诸如上面的句子,需要进入Windows环境下的MS-DOS状态,执行Edit进入批处理编辑,按住AIT键再点F键列出文件(File)菜单,选中其中的Open项,确定后屏幕显示会要求输入文件名(File Name:……)在此处输入Autoexec.bat运行,就会出现自动批处理的程序的内容,在此处可找到屏幕上显示的文字,把这些文字删除就可以了。
6、"好来坞"病毒变种卷土重来格式化硬盘没商量
2月12日,江民快速反病毒小组最新监测到"好来坞"病毒变种W32/HLLW.Maax蠕虫正在互联网上大肆传播。病毒别名为Worm.P2P.Axam [KAV],病毒大小为11,776字节,感染的有效系统有所有Windows操作系统。
江民反病毒专家介绍,W32/HLLW.Maax是一种利用文件共享和MS Outlook传播的蠕虫,蠕虫发送的邮件的主题是从预先确定的列表中选择,附件的文件名为Tca.exe,并企图结束杀毒软件和安全软件的进程,重起系统时,病毒会格式化C盘和D盘。该病毒用MS VB6编写,使用了UPX压缩。
病毒运行时,把自己拷贝到系统启动项及安装目录WINDOWS下,还把自己复制到PROGRAM FILS目录中。
把注册表键值HKEY_CLASSES_ROOT\.exe的默认值由exefile修改成Spitmaxa,这样在每次运行任何可执行文件时都会运行蠕虫;创建键值HKEY_CLASSES_ROOT\Spitmaxa
病毒还会增加下面的键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runsysaxam32 %Windows%\Application Data\Axam.exe
病毒最厉害的一招就是修改文件Autoexec.bat,向文件中添加格式化C和D盘的命令,如果系统是Windows 95/98/Me,下次启动系统时就会自动运行。
病毒利用MS Outlook发送邮件来进行自身的传播,邮件主题为病毒随机生成的特定内容。邮件内容为Hello Mr/Mrs/Sir/Mdm, <收件人名字>
I have an Idea for you, This will make your business more efficient.
To download this important tips just click here <一个指向网站上的可执行文件的链接>
or you can downloaded the files from an attachment.
Regard,Alexander Joshia Executive Manager of DAA Holding
附件为Tca.exe
该病毒会停止一些重要的系统文件及应用程序,结束一些安全软件及杀毒软件的进程,使得系统崩溃,杀毒软件失效。如果你感染了好来坞病毒变种,千万不要重起,否则你保存在C盘及D盘中的数据会瞬间灰飞烟灭。
已感染的用户,具体清除方法为:(注意:如果系统是Windows 95/98/Me,再病毒没有清除之前不要重启计算机。) 1.更新杀毒软件的病毒库,全面扫描系统,把检测到感染W32/HLLW.Maax的文件全部删除;
2.打开一个DOS命令窗口,进入Windows的安装目录,输入copy regedit.exe regedit.com,回车,然后输入regedit.com再回车便打开了注册表编辑器,继续下面的操作;
3.定位到HKEY_CLASSES_ROOT\.exe,把它的默认值修改成exefile定位到键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除键值sysaxam32 %Windows%\Application Data\Axam.exe删除键值HKEY_CLASSES_ROOT\Spitmaxa
4.用没有感染的文件还原Autoexec.bat文件,如果没有备份,请直接删除。
以上病毒利用最新版本的KV江民杀毒王2003都可以有效地进行前杀和清除。
|