您的位置:首页资讯手机辅助 → 四大病毒危害互联网 升级杀毒软件迫在眉睫

四大病毒危害互联网 升级杀毒软件迫在眉睫

时间:2004/10/8 14:38:00来源:本站整理作者:蓝点我要评论(0)

>   笔者7月9日从广州市公安局网监处获悉,近期互联网上相继出现了“BUG-BEAR”、“MOFEI”、“Muma”、“Sobig”等新计算机蠕虫病毒,这些病毒具有感染速度快、扩散面广、传播形式复杂多样等特点,可通过电子邮件、共享网络资源、感染本地文件等方式传播。广州警方要求各有关单位立即采取措施进行自查,采取升级防病毒软件最新版本、尽量关闭计算机上的共享目录、使用复杂密码等手段,保证网络安全。



  “Bugbear”、“Mofei”、“Muma”、“Sobig”等计算机蠕虫病毒传播方式如下:



   一、I- Worm.Bugbear.b蠕虫病毒



   该病毒运行后,会将自己复制到系统目录下,并同时放出3份病毒文件,名称随机。病毒运行时会在本地系统监听1080端口,等待控制台端的连入,形成一个病毒后门,并且可以执行一些简单的控制命令。病毒会尝试感染系统目录或Program File s目录里的可执行文件,使一般的杀毒软件无法清除。病毒会试图搜索局域网内的所有共享资源,在可能的情况下把自己复制到远程系统开始菜单的启动目录中。病毒会每隔20秒就查找一下内存,当发现有当前国外流行的反病毒软件或防火墙的程序运行时,就会使它们失效。病毒会试图从后缀名为。mmf.nch.mbx.eml.tbb.dbx.ocs的文件中搜出mail地址进行邮件传播。



  二、I- WORM_ Mofei. B蠕虫病毒



   该蠕虫病毒主要攻击的系统是NT/2000/XP,蠕虫由以下文件组成:Scardsvr32.exe、scardsvr32.dll、mofei.cfg、mofei.ver、mofei.dat.蠕虫作为服务执行,蠕虫病毒不检查内存中的重复进程,病毒在windows95/98系统会写注册表键值HKEY_ LOCAL_ MA-CHIN ESoftware M icrosoftWindowsCurrent VersionRun Services的SCardSvr=%Windows%System 32SCard Svr. Exe,使病毒进程以后台服务的形式存在;在windows NT系统病毒将创建服务来运行病毒,服务名称为Smart Card Helper (服务指向病毒文件);在windows 2000/XP病毒将修改系统服务Smart Card Helper使其指向病毒文件来达到开机运行病毒的目的;病毒在内存中可以有多个进程,蠕虫连接多个互联网IP地址,造成拒绝服务攻击。蠕虫通过预先定义弱口令列表,尝试登录远程计算机和局域网内所有计算机。登录成功将自己拷贝到远程计算机。病毒利用135和139端口在受感染的计算机跟远程计算机之间传输信息,允许客户端进行操作。



  病毒会在Windows NT/2000/XP系统中创建一个名为tsinternetuser的帐号,如果计算机已经有了这个帐号,病毒会修改它的密码为6875 20,并将这个帐号加入到本地管理员组。蠕虫程序有一些错误,在特定的计算机上运行会出现找不到psapi. dll的错误提示。



  手工清除该病毒的方法:1.结束病毒进程SCARDSVR32.EXE,删除病毒文件。



  2.清除以上提到的注册表键值3.清除服务:Win dows 2000/XP系统用注册表编辑器REGEDIT.EXE编辑主键HKEY_ LOCAL_MACHINE SYSTEMCurrent Control SetServicesSCard Drv中的以下键的键值(以下“=”号前的为对应的键,“=”后的为键值,“()”中的值是十进制的显示结果,“()”前面的是16进制显示结果):Image Path =%SystemRoot%system32Scard Svr.exe Error Control=00000000(0) Start=00000003(3)Type=00000020(32)如果是Windows NT系统直接删除以上键值即可。



  4.删除帐号tsin ternetuser或者修改其密码。



  5.对局域网内计算机不要使用管理员来进行网络访问,可以创建不同用户来访问。



  三、I- WORM.Muma.Bat.A蠕虫病毒



   该病毒首先从start. bat文件开始执行,运行中调用了一系列的批处理文件,病毒首先遍历本地的C盘到H盘的所有本地硬盘并将结果写入到文件lan.log中,然后判断lan. log文件中是否包含MU字符串,如果有就删除该日志文件;接下来病毒会尝试删除文件ipcfind. txt( hfind.exe查找的结果记录文件),然后运行hfind.exe (红客联盟出品的一个命令行nt弱口令扫描工具,由于需要输入固定的ip段作为扫描的参数,病毒首先随机取得了ip地址的前两个字段的值,后两个字段固定取值0.1到0.254),hfind.exe运行将调用密码库ipcpass.txt文件,如果该文件为空,hfind.exe以穷举密码方式寻找局域网中管理共享(admin$ )的密码,并将结果写到文件ip cfind.txt中;接着病毒通过批处理文件replace. bat调用程序rep.exe,将ipcfind.txt中的内容写到新文件Tihuan.txt当中,并将原文件删除,然后病毒利用某台计算机管理共享的弱口令(在tih uan. txt中)将病毒文件拷贝到这台机器的admin$sys-tem 32(对应从本机查看的%systemroot% system32目录)当中,并用本机的start.exe (系统程序)调用psexec.exe来将该远程计算机中的start. bat文件启动起来。病毒在完成以上操作以后会运行程序netstat.exe,并将输出结果记录到文件a.tmp,然后病毒调用文件near. bat,并将ip地址提供给它。在windowsNT /2000/XP操作系统上,病毒会通过netservice.bat来调用netservice. exe加参数-install安装一个服务(为了防止出现提示信息,批处理文件中全部把屏幕输出到了一个临时文件a. tm p当中),服务的名称为application,服务启动会执行程序“cmd /css. bat”,而ss. bat文件用于在本地生成一个叫做admin的用户(密码设置为KKKKKKK),并将其加入管理员组,然后以这个用户身份在本地计算机运行start.bat.由于病毒在start. bat文件中加入了goto start参数,start. bat将无限制地运行下去,可能会导致cpu资源出现不足的情况,而且由于hfind.exe对网络的扫描,可能会造成局域网拥塞的现象发生。



  手工清除该病毒的方法:1.杀掉以下进程:cmd.exe、ping. exe、find. exe、hfind.exe、psexec.exe.2.在服务管理器中停止服务applic atio n,并进入注册表删除以下主键:Hkey_ Local_ Ma-chine System Current Control SetServicesApplication.3.进入%systemroot%system 32目录删除所有与病毒相关的文件。



  四、I-WORM.Sobig.B蠕虫病毒



   此病毒第一次启动时会把自己复制到windows目录下命名为msccn32.exe,在windows目录下创建hnks.ini和msdbrr.ini两个文件,在注册表HKEY_LOCAL_MACHINE Software MicrosoftWindows Current Version Run中添加System Tray“=”%Windir%msccn 32. exe,该键值的内容是病毒的文件路径,这样在下一次启动计算机时,病毒会自动运行;如果被感染的操作系统是WindowsNT / 200 0/XP,病毒还会在注册表HKEY_ CURRENT_ USERSOFTWAREMicrosoftWindowsCurrent VersionRun中添加 System Tray“=”%Windir% msccn32.exe.病毒会遍历局域网,并尝试把自己复制到其它计算机的WindowsAll UsersStart MenuProgramsStartUp及Documents and SettingsAll Users StartMenu Programs Startup中以使目标机器启动就进行感染。该病毒还试图从不同的web地址下载数据,这些地址存放在上述的。ini文件中。该病毒搜索所有扩展名为。wab.dbx.htm.html.eml.txt的文件获取邮件地址,然后利用SMTP协议把自己发送到得到的地址中。病毒伪装邮件的发件人为:support@microsoft.com。



文章来源: 南方日报 引自:www.duba.net 

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 爱思助手怎么导入微信i苹果助手怎么修复闪退2014年度十大手机排行wifi万能钥匙怎么用啊

最新文章 手机如何安装电脑软件使用Total Control手机 如何使用Total Control进行手机APP性能测试如何使用Total Control 在电脑端收发手机消如何使用Total Control 投屏录屏软件分享手Total Control电脑控制手机软件如何进行脚本

人气排行 一键刷机哪个好 四大安卓刷机软件评测手机SIM卡读不出来怎么办?手机SIM卡不识别解USB调试在哪里打开 手机USB调试模式设置大全完美刷机怎么救砖 手机变砖后怎么办爱思助手备份shsh教程 爱思助手怎么备份SHwifi万能钥匙怎么用啊 wifi万能钥匙电脑版逍遥安卓模拟器怎么用 逍遥安卓模拟器安装使苹果手机怎么退出恢复模式 怎么用爱思助手