光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、W32病毒:W32.Corerink.A 危害级别:★★☆☆☆
根据光华反病毒研究中心专家介绍,这是一个 W32 病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它试图破解网络共享弱口令,感染可执行文件,终止安全程序,并删除有关文件。当收到、打开此病毒时,有以下危害:
A 生成以下文件
Windows目录linkinfo.dll
系统目录driversRioDrvs.sys
系统目录driversDKIS6.sys
B 生成注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRioDrvs
用于创建服务
C 创建以下特性的服务
名称 RioDrvs Usb Driver
影像位置 %System%driversRioDrvs.sys
D 删除以下文件
系统目录dllcachelinkinfo.dll
系统目录system32linkinfo.dll
E 创建系统信号量 __DL_CORE_MUTEX__ 避免病毒重复运行
F 终止以下安全程序,并删除有关文件
realschd.exe
cmdbcs.exe
wsvbs.exe
msdccrt.exe
run1132.exe
sysload3.exe
tempicon.exe
sysbmw.exe
rpcs.exe
msvce32.exe
rundl132.exe
svhost32.exe
smss.exe
lsass.exe
internat.exe
explorer.exe
ctmontv.exe
iexplore.exe
ncscv32.exe
spo0lsv.exe
wdfmgr32.exe
upxdnd.exe
ssopure.exe
iexpl0re.exe
c0nime.exe
svch0st.exe
nvscv32.exe
spoclsv.exe
fuckjacks.exe
logo_1.exe
logo1_.exe
lying.exe
sxs.exe
G 避免终止含有以下字符的程序
windows
winnt
com
system
program files
H 病毒注入 Iexplore.exe 进程,隐藏自身
I 感染找到的可执行文件,并避免感染以下文件
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe
zxcv
J 试图使用以下弱口令破解网络共享
qazwsx
qaz
qwer
!@#\$%^&()
!@#\$%^&(
!@#\$%^&
!@#\$%^&
!@#\$%^
!@#\$%
asdfgh
asdf
!@#\$
654321
123456
12345
1234
123
111
1
admin
K 一旦破解,病毒复制文件到 C\$Ins.exe 并且使用以下特性的服务来启动程序
服务名 DLAN
显示名 DLAN
L 连接以下网址通知黑客被破解的计算机
httptj.imrw0rldwide.comco.aspaction=post&HD=[data]&OT=[data]&IV=[data]&AV=[data]
M 连接以下网址接受配置信息
httpsoft.imrw0rldwide.comz.dat
二 木马病毒 Trojan.Peacomm.B 危害级别:★☆☆☆☆
根据光华反病毒研究中心专家介绍, Trojan.Peacomm.B 是一个木马病毒,长度 91,849 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个木马生成 rootkit 驱动程序传播病毒,下载其他恶意程序。当收到、打开此病毒时,主要有以下危害:
A 检查虚拟机 VMWare VirtualPC 是否启动,如启动则关闭
B 生成系统信号量 A8dK894Lm9#F2i\$s0Bq2X 避免病毒被多次执行
C 生成文件
系统目录windev-[随机4个数字]-[随机4个数字].sys
系统目录windev-peers.ini
D 生成注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindev-[随机4个数字]-[随机4个数字]
用于创建服务
E 创建以下特性的服务
名称 windev-[随机4个数字]-[随机4个数字]
影像位置 %System%driverswindev-[随机4个数字]-[随机4个数字].sys
F 挂接以下API保护病毒自身
NtQueryDirectoryFile
NtEnumerateKey
NtEnumerateValueKey
G 挂接 TCPIP 进行监破坏
H 搜索SERVICES.EXE 进程,注入并隐藏
I 生成加密监听列表文件windev-peers.ini
J 打开 UDP 端口 7871 和 8815,等待加密通信
K 通过点对点协议传播病毒,下载执行其他恶意程序
L 收集计算机信息
M 关闭Windows自带防火墙
N 搜索以下扩展名文件中的邮件地址
.adb
.asp
.cfg
.cgi
.dat
.dbx
.dhtm
.eml
.htm
.jsp
.lst
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
O 发送垃圾邮件到搜集到的邮件地址
P 避免发送到含有以下字符的地址
@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
Q 将注册表值HKEY_LOCAL_MACHINEMicrosoftWindowsITStorageFindersconfig = [P2P NETWORK UNIQUE ID]
的内容写入文件:系统目录windev-peers.ini
R 防火墙被关闭后,从 http://66.228.117.195 下载执行文件
- 相关阅读:
- ·敢黑飞就打下来:英国研制反无人机系统
//news.zol.com.cn/544/5448393.html - ·专治不服!波音开发反无人机激光炮
//news.zol.com.cn/537/5375399.html - ·ZOL荣获2014最具影响力IT资讯服务类奖项
//news.zol.com.cn/452/4520639.html - ·ZOL荣获2014最具影响力科技资讯应用奖
//news.zol.com.cn/452/4520614.html - ·“北京网络安全反诈骗联盟”在京正式启动
//news.zol.com.cn/448/4484534.html