您的位置: 中国无忧商务网 > 无忧IT资讯网 >

病毒预警：光华反病毒资讯(10.9-10.15)

CNET中国·PChome.net 类型:原创作者: 责编:维尼时间:2006-10-09

光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介：

一、网络病毒：W32.Looked.AO 危害级别：★★★★☆

根据光华反病毒研究中心专家介绍，这是一个网络蠕虫病毒，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它降低系统安全设置，感染本地和网络共享目录中的可执行文件，下载传播其他病毒文件。

当收到、打开此病毒后，有以下现象：
A 复制自身到windows目录下为 rundl132.exe 和 Logo1_.exe
B 生成文件 Dll.dll，下载传播其他病毒文件
C 生成文件 C:1.txt
windows目录Sy.exe
用户目录Local SettingsTemp$$a5.bat
用户目录Local SettingsTemp$$ab.bat
D 如果注册表 HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW 中有键值 "auto" = "1" 退出
E 如果注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows 中有键值 "ver_down0" = "[下载的文本]" 退出
F 创建 D、E 中的键值
G 创建注册表项 "load" = "%Windir%rundl132.exe" 到
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
使得病毒每次开机后自动执行
H 结束以下进程
RavMon.exe
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe
I 停止 Kingsoft AntiVirus Service 服务
J 将 Dll.dll 插入到进程 iexplorer.exe 和 explorer.exe 中
K 从网上下载 7 个病毒并执行
L 将下载的病毒保存到 windows 目录的文件并命名为 0Sy.exe 等
M 搜索C盘到Y盘中的所有exe文件并感染
N 搜索网络共享目录中的所有exe文件并感染
O 通过 ICMP 协议，发送数据包 Hello,World
P 每感染一个文件夹后，在文件夹中创建文件 _desktop.ini ，保存病毒感染的日期，设置为隐藏系统属性
Q 排除以下文件夹不感染
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Windows NT
WindowsUpdate
ComPlus Application
NetMeeting
Common Files
Messenger
InstallShield Installation Information
Microsoft FrontPage
Movie Maker
MSN Gaming Zone
R 设置音量为 0 (使用户听不到杀毒软件的报警声)
S 关闭杀毒软件报警窗口

二木马病毒 Trojan.Ruspy!doc 危害级别：★★★★☆

根据光华反病毒研究中心专家介绍，Trojan.Ruspy!doc 是一个木马病毒，长度 159,744 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，它生成木马病毒，降低系统安全设置。

当染毒文件被执行时，有以下现象：
A 生成病毒 C:[随机名].exe 并执行
B 修改
HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0WordSecurity
HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0WordSecurity
HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0WordSecurity
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0WordSecurity
HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0WordSecurity
中的键值 "Level" 为 "1"
降低系统安全设置
C 修改
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones
中的键值"1201" 为 ""
降低系统安全设置

北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到10月9日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。