|
打开邮箱就收到18封邮件,其中17封有病毒!紧急告知各位!!!
江民公司公布最新“四维”病毒I-Worm/Swen技术资料
----------------------------------------------------------------------------
----
www.jiangmin.com.cn 2003-9-19 10:59:12 作者: 信息出自:江民科技
2003年9月19日,江民快速反病毒小组最新截获一种名为I-Worm/Swen“四维”的
网络蠕虫病毒。此病毒是用C++编写的。
病毒别名:W32.Swen.A@mm,Swen , W32/Swen@mm , W32/Gibe-F, Worm Swen.A
病毒长度:106,496 bytes
危险级别:高
影响平台:该病毒可以影响目前流行的所有Windows平台(包括:Win
95/98/Me/NT/2000/XP以及Windows Server 2003)
江民公司反病毒专家介绍:I-Worm/Swen是一种网络蠕虫病毒,它的传播方式有很多
种,包括:电子邮件,KaZaA, IRC,网络共享以及新闻组等。它还试图破坏系统中正在
运行的反病毒软件及个人防火墙程序。
该蠕虫病毒通过邮件发送传播时它的主题、内容、以及发送Mail的地址都是随机变
化的。
病毒一旦感染系统并运行时:
1.出现一个对话框,假装是"Microsoft Internet Update Pack."(微软的升级包)
2.试图结束下列进程,以躲避反病毒软件:
Azonealarm
zapro
wfindv32
webtrap
vsstat
vshwin32
vsecomr
vscan
vettray
vet98
vet95
vet32
vcontrol
vcleaner
tds2
tca
sweep
sphinx
serv95
safeweb
rescue
regedit
rav
pview
pop3trap
per**w
pcfwallicon
pccwin98
pccmain
pcciomon
pavw
pavsched
pavcl
padmin
outpost
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
nai_vs_stat
msconfig
mpftray
moolive
luall
lookout
lockdown2000
kpfw32
jedi
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
gibe
f-stopw
frw
fp-win
f-prot95
fprot95
f-prot
fprot
findviru
f-agnt95
espwatch
esafe
efinet32
ecengine
dv95
claw95
cfinet
cfind
cfiaudit
cfiadmin
ccshtdwn
ccapp
bootwarn
blackice
blackd
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
autodown
apvxdwin
aplica32
anti-trojan
ackwin32
_avp
3.该病毒可以把自身的病毒文件复制到%Windir%中,(注%Windir%是变化的指Windows
的安装目录,不同的系统此目录可以不同[ C:\Windows(Windows 95/98/Me/XP),
C:\Winnt (Windows NT/2000)])而文件名是随机变化的。
4.在%Windir%中生成两个文件Germs0.dbv和Swen1.dat,用来存放病毒搜索到的Email地
址和Mail服务器列表
5.病毒可能会创建一个以被感染机器的名称命名的.bat的自动批处理文件,用以执行蠕
虫程序并随机的指定文件类型存放本地计算机的详细资料。
6.病毒修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\****
(****是任意的四个字母)
在其下添加
"CacheBox Outfit"="yes"
"ZipName"="<随机>"
"Mirc Install Folder"=""
"Installed"="...by Begbie"
"Install Item"="<随机>"
"Unfile"="<随机>"
同时与其它的网络蠕虫病毒相似,此病毒也会把生成的随机的文件名加载在注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中以使其随系统启动而自动运行。
7.该网络蠕虫可以通过对注册表中:
HKEY_LOCAL_MACHINE\CLASSES\exefile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\regfile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\scrfile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\comfile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\batfile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\piffile\shell\open\command
的修改,修改系统中.exe/.reg/.scr/.com/.bat/.pif文件的关联,所以病毒一旦感染
系统,在运行上述类型的文件时都可能先运行病毒文件。
8.病毒为了不让用户对上述注册表中的项目进行手动修改还在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
中把"DisableRegistryTools" = "0"修改为"DisableRegistryTools" = "1" 这样,用
户可能无法直接进入系统的注册表编辑器。
9.病毒会周期性的出现一个提示框,假装是MAPI32 Exception出错。并要求用户输入
“用户名”“口令”“POP3”“SMTP”等信息。
10.当执行某一程序时可能会出现:
Exception error occured:
Memory access violation in module kernel32 at %random.memory.address%
这其实是病毒发出的,并不是真正的系统程序出错。
江民公司提醒用户,请及时升级江民KV系列杀毒软件到最新版本,开启六套实时
监控,即可对此病毒进行有效防杀。
已感染的用户,具体清除方法如下:
1.可以使用KV2004的最新版本直接在系统下彻底查杀。方法是先对系统内存进行扫描查
杀,再对整个硬盘进行查杀。对于病毒创建的病毒体文件,KV会自动进行删除。
2.也可利用KV的新的制做DOS杀毒盘的功能,用KVDOS在DOS对此病毒进行查杀清除。
3.如果发现病毒已将注册表锁定,可以使用KV2004自带的IE修复工具进行解除,然后再
对注册表项目做相应修改。
如遇病毒请拔打江民公司的免费服务电话800-810-2300(未开通800电话地区可
以拔打010-82511177)进行咨询。也可以登录http://www.jiangmin.com江民反病毒资
讯网获得帮助。
|
加好友 
发短信
Post By:2003/9/22 0:38:00
追逐风的足迹,放飞希望……
论坛元老
