虎皮虾
虎皮虾
|
回复
四、“武汉男生”病毒
病毒特性: 此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。 该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。 (1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器; (2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具; (3)每隔一段时间给QQ网友发送信息 (4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加: “windows update” = “%安装目录%systemupdater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:windows;c:winnt 等。 (5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。 (6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。 清除病毒 1、删除病毒在系统目录下释放的病毒文件 2、删除病毒在注册表下生成的键值 3、运行杀毒软件,对病毒进行全面清除 五、“爱情森林”病毒 (一)病毒特征 该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会: 1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 2、修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) 3、该木马程序还会在站点http://orchid.diy.163.com/下载文紁date.exe, 并执行下载下来的程序,进行其它的破坏活动。 清除方法 (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为Explorer的键值。 (二)变种一病毒特征 该病毒运行后会: 1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。 2、修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 3、修改注册表,修改HKEY_CLASSES_ROOT\txtfile\shell\open\command的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看” 的消息,诱导用户浏览含有恶意代码的网页。 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。 清除方法 (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 (3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为intarnet=%windowssystem%rundll.exe"的键值。恢复HKEY_CLASSES_ROOT\txtfile\shell\open\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) (4)若根目录下存在文件setup.txt或mima.txt,将其删除。 (三)变种二病毒特征 该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。 木马程序被运行后会: 1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。 2、修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) 3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”, 当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。 清除方法: (1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为Explorer的键值。 (四)变种三病毒特征 该病毒运行后会: 1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。 2、修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 3、修改注册表,修改HKEY_CLASSES_ROOT\txtfile\shell\open\command的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 4、修改注册表,修改IE浏览器的默认页,开始页,起始页。 5、该木马会通过QQ程序向其它的QQ用户发送“http://ontimer.spedia.net,你快去看看” 的消息,诱导用户浏览含有恶意代码的网页。 6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。 清除方法: (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 (3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为intarnet=%windowssystem%\rundll.exe"的键值。恢复HKEY_CLASSES_ROOT\txtfile\shell\opencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) (4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page,HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL,HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page的设置为原来的内容。 (五)变种四病毒特征 该木马程序用Delphi编写,并用UPX进行了压缩,但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征,因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会: 1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 2、修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) 3、该木马程序还会在站点http://orchid.diy.163.com/下载文紁date.exe, 并执行下载下来的程序,进行其它的破坏活动。 清除方法 (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为Explorer的键值 六、“QQ女友”病毒 病毒特征: 利用QQ发送诱惑信息,导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友,致使不明真相的用户上当。 1.复制自己到系统目录: %SYSDIR%internet.exe %SYSDIR%svch0st.exe 2.修改如下注册表键值病毒自启动的伎俩>: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Network Associates, Inc." = "INTERNET.EXE" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "S0undMan" = "%SYSDIR%SVCH0ST.EXE" 3.病毒运行后将建立一个HTTP服务器,监听TCP端口20808 该功能将响应远程的下载请求,将本地的病毒文件复制到远程机器。 4.病毒搜索QQ聊天软件,向在线的好友发送诱惑信息,内容如下: “你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。 留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。 像是探询,像是关切,像是问候。 这是你需要的东西: 下载地址1 http://*.*.*.*::20808//%DRIVE%c:filename.exe 下载地址2 http://*.*.*.*::20808//%DRIVE%c:filename.exe” 上面的内容头部也可能为下列之一: 收之, 切身相关啊, 
|
|
|
- · 一、“QQ尾巴”病毒 病毒主要特征 这种病毒并不是利用QQ本身的漏洞 进行传 ( love1314520 发表于 2005/11/6 0:20:00)
- · 四、“武汉男生”病毒 病毒特性: 此病毒是“武汉男生”的一系列新变种,病毒 ( 虎皮虾 发表于 2005/11/6 10:19:00)
Copyright @ 2004-2025 www.52jdyy.com 激动社区 - 陪你一起慢慢变老!
皖公网安备 34182502000053号 皖ICP备19010502号