伪装为圣诞电子贺卡的新病毒Worm_Zafi.d出现 |
---|
http://www.sina.com.cn 2004年12月18日16:10 新华网 |
新华网天津12月18日电(梁宏、张建新)国家计算机病毒应急处理中心通过对互联网的监测,发现通过邮件和网络共享进行传播的新蠕虫病毒Worm_Zafi.d。 据了解,该病毒将自己伪装成圣诞节电子贺卡发给用户,还将自己伪装为新版的聊天工具ICQ2005或音频播放软winamp5.7放到共享目录中,诱使用户打开。用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。 病毒名称:Worm_Zafi.D 其他病毒名:W32/Zafi.d@MM (McAfee) W32.Erkez.D@mm(Symantec) WORM_ZAFI.D(Trend Micro) Worm.Zafi.d(金山)I-Worm.Zafi.d(瑞星) I-Worm/Zafi.d(江民) 感染系统:Windows2000,Window98,Windows Me,Windows NT, Windows XP 病毒特征: 1、生成病毒文件 病毒运行后在%System%目录下生成NortonUpdate.exe和C:\s.cm。(其中,%System%为系统文件夹,在默认情况下,在Windows95/Me中为C:\Windows\System,在WindowsNT/2000中为C:\Winnt\System32,在WindowsXP中为C:\Windows\System32) 病毒还会将自己复制在%System%目录下,名为随机字符.dll文件。病毒还会试图在任何包含字符「shar」的文件夹中建立本身的副本,副本名称为:winamp5.7new!.exe、ICQ2005anew!.exe。 2、修改注册表项 病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加值“Wxp4”=“%System%\NortonUpdate.exe”。这样可以在每次开机时自动运行,文件名伪装为Norton的升级程序。 同时,病毒还会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4,把自身一些信息保存到注册表中的该键内。 3、通过电子邮件传播 病毒电子邮件特征如下: 主题:为下列名称之一 Merry Christmas! boldog karacsony... Feliz Navidad! ecard.ru Christmas Kort! Christmas Vykort! Christmas Postkort! Christmas postikorti! Christmas - Kartki! Weihnachten card. Prettige Kerstdagen! Christmas pohlednice Joyeux Noel! Buon Natale! 正文:(为以下之一) Happy HollyDays! :) [Sender] Kellemes Unnepeket! :) [Sender] Feliz Navidad! :) [Sender] :) [Sender] Glaedelig Jul! :) [Sender] God Jul! :) [Sender] God Jul! :) [Sender] Iloista Joulua! :) [Sender] Naulieji Metai! :) [Sender] Wesolych Swiat! :) [Sender] Fr?hliche Weihnachten! :) [Sender] Prettige Kerstdagen! :) [Sender] Veselé Vánoce! :) [Sender] Joyeux Noel! :) [Sender] Buon Natale! :) [Sender] 附件:(包含以下扩展名之一的随机文档名) .bat .cmd .com .pif .zip 4、病毒运行 当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。为了避免轻易被检测或清除,该病毒会结束以下名称中包含如下字符串的进程:msconfigregedtask 5、后门功能 该病毒还具有后门功能,它会打开TCP端口8181,允许远程用户对具有安全漏洞的系统上载文件。 手工清除病毒: 1、结束病毒进程打开Windows任务管理器,在 Windows95/98/ME系统上,按下CTRL+ALT+DELETE,在WindowsNT/2000/XP系统上,按下CTRL+SHIFT+ESC,并点击进程标签。在运行的程序列表中,找到下面的进程:NORTONUPDATE.EXE,结束该进程即可。 2、删除病毒文件 右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。在名称输入框中输入:NortonUpdate.exe和s.cm,找到文件然后选择删除。 3、修改注册表打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,找到右侧面板中“Wxp4”=“%System%\NortonUpdate.exe”,并将其删除。依次双击左边的面板,双击并删除下面的项目HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4。 |