又有四类电脑病毒杀到 | ||
---|---|---|
http://www.sina.com.cn 2003年07月10日15:58 南方日报 | ||
又有四类电脑病毒杀到 广州警方呼吁网络用户升级防毒软件保安全,发现恶意传播病毒者立即报警 本报讯(记者/蒋才虎 通讯员/陈立雄 陈教安)笔者昨日从广州市公安局网监处获悉,近期互联网上相继出现了“BUG-BEAR”、“MOFEI”、“MUMA”、“SOBIG”等新计算机蠕 “BUGBEAR”、“MOFEI”、“MUMA”、“SOBIG”等计算机蠕虫病毒传播方式如下: 一、I-Worm.Bugbear.b蠕虫病毒 该病毒运行后,会将自己复制到系统目录下,并同时放出3份病毒文件,名称随机。病毒运行时会在本地系统监听1080端口,等待控制台端的连入,形成一个病毒后门,并且可以执行一些简单的控制命令。病毒会尝试感染系统目录或ProgramFiles目录里的可执行文件,使一般的杀毒软件无法清除。病毒会试图搜索局域网内的所有共享资源,在可能的情况下把自己复制到远程系统开始菜单的启动目录中。病毒会每隔20秒就查找一下内存,当发现有当前国外流行的反病毒软件或防火墙的程序运行时,就会使它们失效。病毒会试图从后缀名为.mmf.nch.mbx.eml.tbb.dbx.ocs的文件中搜出mail地址进行邮件传播。 二、I-WORM_MOFEI.B蠕虫病毒 该蠕虫病毒主要攻击的系统是NT/2000/XP,蠕虫由以下文件组成:Scardsvr32.exe、scardsvr32.dll、mofei.cfg、mofei.ver、mofei.dat。蠕虫作为服务执行,蠕虫病毒不检查内存中的重复进程,病毒在windows95/98系统会写注册表键值HKEY_LOCAL_MA-CHINESoftwareMicrosoftWindowsCurrentVersionRunServices的SCardSvr=%Windows%System32SCardSvr.Exe,使病毒进程以后台服务的形式存在;在windowsNT 系统病毒将创建服务来运行病毒,服务名称为SmartCardHelper(服务指向病毒文件);在windows2000/XP病毒将修改系统服务SmartCardHelper使其指向病毒文件来达到开机运行病毒的目的;病毒在内存中可以有多个进程,蠕虫连接多个互联网IP地址,造成拒绝服务攻击。蠕虫通过预先定义弱口令列表,尝试登录远程计算机和局域网内所有计算机。登录成功将自己拷贝到远程计算机。病毒利用135和139端口在受感染的计算机跟远程计算机之间传输信息,允许客户端进行操作。病毒会在WindowsNT/2000/XP系统中创建一个名为tsinternetuser的帐号,如果计算机已经有了这个帐号,病毒会修改它的密码为687520,并将这个帐号加入到本地管理员组。蠕虫程序有一些错误,在特定的计算机上运行会出现找不到psapi.dll的错误提示。 手工清除该病毒的方法: 1.结束病毒进程SCARDSVR32.EXE,删除病毒文件。 2.清除以上提到的注册表键值 3.清除服务:Windows2000/XP系统用注册表编辑器REGEDIT.EXE编辑主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSCardDrv中的以下键的键值(以下“=”号前的为对应的键,“=”后的为键值,“()”中的值是十进制的显示结果,“()”前面的是16进制显示结果):ImagePath=%SystemRoot%system32ScardSvr.exeErrorControl=00000000(0)Start=00000003(3)Type=00000020(32)如果是WindowsNT系统直接删除以上键值即可。 4.删除帐号tsinternetuser或者修改其密码。 5.对局域网内计算机不要使用管理员来进行网络访问,可以创建不同用户来访问。 三、I-WORM.Muma.Bat.A蠕虫病毒 该病毒首先从start.bat文件开始执行,运行中调用了一系列的批处理文件,病毒首先遍历本地的C盘到H盘的所有本地硬盘并将结果写入到文件lan.log中,然后判断lan.log文件中是否包含MU字符串,如果有就删除该日志文件;接下来病毒会尝试删除文件ipcfind.txt(hfind.exe查找的结果记录文件),然后运行hfind.exe(红客联盟出品的一个命令行nt弱口令扫描工具,由于需要输入固定的ip段作为扫描的参数,病毒首先随机取得了ip地址的前两个字段的值,后两个字段固定取值0.1到0.254),hfind.exe运行将调用密码库ipcpass.txt文件,如果该文件为空, hfind.exe以穷举密码方式寻找局域网中管理共享(admin101 101的密码,并将结果写到文件ipcfind.txt中;接着病毒通过批处理文件replace.bat调用程序rep.exe,将ipcfind.txt中的内容写到新文件Tihuan.txt当中,并将原文件删除,然后病毒利用某台计算机管理共享的弱口令(在tihuan.txt中)将病毒文件拷贝到这台机器的adminsys-tem32(对应从本机查看的%systemroot%system32目录)当中,并用本机的start.exe(系统程序)调用psexec.exe来将该远程计算机中的start.bat文件启动起来。病毒在完成以上操作以后会运行程序netstat.exe,并将输出结果记录到文件a.tmp,然后病毒调用文件near.bat,并将ip地址提供给它?T趙indowsNT/2000/XP操作系统上,病毒会通过netservice.bat来调用netservice.exe加参数-install安装一个服务(为了防止出现提示信息,批处理文件中全部把屏幕输出到了一个临时文件a.tmp当中),服务的名称为application,服务启动会执行程序“cmd/css.bat”,而ss.bat文件用于在本地生成一个叫做admin的用户(密码设置为KKKKKKK),并将其加入管理员组,然后以这个用户身份在本地计算机运行start.bat。由于病毒在start.bat文件中加入了gotostart参数,start.bat将无限制地运行下去,可能会导致cpu资源出现不足的情况,而且由于hfind.exe对网络的扫描,可能会造成局域网拥塞的现象发生。 手工清除该病毒的方法: 1.杀掉以下进程:cmd.exe、ping.exe、find.exe、hfind.exe、psexec.exe。 2.在服务管理器中停止服务application,并进入注册表删除以下主键:Hkey_Local_Ma-chineSystemCurrentControlSetServicesApplication。 3.进入%systemroot%system32目录删除所有与病毒相关的文件。 四、I-WORM.SOBIG.B蠕虫病毒 此病毒第一次启动时会把自己复制到windows目录下命名为msccn32.exe,在windows目录下创建hnks.ini和msdbrr.ini两个文件,在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中添加SystemTray“=”%Windir%msccn32.exe,该键值的内容是病毒的文件路径,这样在下一次启动计算机时,病毒会自动运行;如果被感染的操作系统是WindowsNT/2000/XP,病毒还会在注册表HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun中添加SystemTray“=”%Windir%msccn32.exe。病毒会遍历局域网,并尝试把自己复制到其它计算机的WindowsAllUsersStartMenuProgramsStartUp及DocumentsandSettingsAllUsersStartMenuProgramsStartup中以使目标机器启动就进行感染。该病毒还试图从不同的web地址下载数据,这些地址存放在上述的.ini文件中。该病毒搜索所有扩展名为.wab.dbx.htm.html.eml.txt的文件获取邮件地址,然后利用SMTP协议把自己发送到得到的地址中。病毒伪装邮件的发件人为:support@microsoft.com。
订阅新浪新闻冲浪 足不出户随时了解最新新闻 | ||