当前位置: >> 首页 >> 病毒频道 >> 升级报告 >> 升级报告

瑞星升级报告:15.49.10版新增67个可查杀病毒
www.rising.com.cn  2003-8-20 16:10:00  信息源:瑞星公司
广告  

本周15.49.10版新增67个可查杀病毒,主要包括: WINDOWS下的PE病毒(67)

WINDOWS下的PE病毒(67)

1.Worm.Sobig.f
破坏方法:蠕虫“Worm.Sobig”新变种此病毒是病毒“大无极”新变种,VC++编写,Telock压缩;
1.此变种通过自己的SMTP引擎发送邮件传播,它发送Email包含如下信息:
    主题一般为:
    Re: Thank you!
    Thank you!
    Your details
    Re: Details
    Re: Re: My details
    Re: Approved
    Re: Your application
    Re: Wicked screensaver
    Re: That movie
    附件名为:
    your_document.pif
    document_all.pif
    thank_you.pif
    your_details.pif
    details.pif
    document_9446.pif
    application.pif
    wicked_scr.scr
    movie0045.pif
    消息正文可能为:
    Please see the attached file for details.
    或
    See the attached file for details
2.病毒将从下列扩展名的文件中搜索Email地址:
    txt
    eml
    html
    htm
    dbx
    wab
3.病毒一旦运行,将复制自己到系统目录:
    %WINDIR%\WINPPR32.EXE
    其中%WINDIR%可能为c:\Windows或c:\winnt
    病毒通过网络枚举本地局域网资源并试图将病毒文件复制到
    系统的c$,d$,e$的Windows\All Users\Start Menu\Programs\StartUp
    及Documents and Settings\All Users\Start Menu\Programs\Startup目录。
    该病毒将使用端口8998/udp向其master发送一个探测报文,作为响应,master将返回一个URL,
    病毒能从此URL下载文件,master有两个,分别为:A.ROOT-SERVERS.NET或B.ROOT-SERVERS.NET
    病毒带有后门,将打开下列端口:
    995/udp 
    996/udp 
    997/udp 
    998/udp 
    999/udp
    它监听来自这些端口的UDP报文,并分析之,病毒用此来自动更新
4.病毒在2003年9月10日停止传播。HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TrayX
"%WINDIR%\winppr32.exe /sinc"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TrayX
"%WINDIR%\winppr32.exe /sinc"


2.Worm.Winny
破坏方法:这是一个通过Winny文件共享传播的蠕虫病毒采用Visual C++6.0编写,运行后显示一个假的日语消息框
病毒在复制时是选择一个存在的文件夹中的文件名来命名,比如:
C:\Program Files\WinRAR\WinRAR386d.exe。
病毒是通过文件共享来传播病毒通过Winny文件共享传播
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ara-key
"随机文件夹\随机文件.exe  -StartUp"


3.Trojan.FheSrv32.dg
破坏方法:此程序启动后会连续的报出几个出错的信息,因此此病毒程序很可能还处于调试状态。此病毒程序会在后台隐藏的运行,此病毒在运行的时候还会实时的监控被他修改的注册表。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
FheSrv          C:\WINDOWS\DESKTOP\SHARE-FOR-REAL\FHESRV32.EXE


4.Trojan.Wymuma
破坏方法:这是一个木马病毒。
拷贝自己到系统目录,命名为consoleserver.exe。
隐藏在后台,驻留内存,连接网址,下载下列文件到本地。
http://www.***.com/MemberReg.aspx.rb
http://www.***.com/DOWNLOAD.ASPX
http://www.***.com/executant3help.aspx
http://download.***.com/main.ini


5.Trojan.Wymuma.enc
破坏方法:这是一个木马病毒。
拷贝自己到系统目录,命名为consoleserver.exe。
隐藏在后台,驻留内存,连接网址,下载下列文件到本地。
http://www.***.com/MemberReg.aspx.rb
http://www.***.com/DOWNLOAD.ASPX
http://www.***.com/executant3help.aspx
http://download.***.com/main.ini


6.Trojan.ExeBinder.jfmu
破坏方法:可以将病毒程序和正常的应用程序捆绑成一个程序.此程序启动的时候会释放出病毒程序和正常的程序,用正常的程序来掩盖病毒.
此病毒的图标是一个自解压程序的图标,启动后会释放出病毒并将病毒启动,然后释放出一个真正的自解压程序并启动。用这个自解压程序来掩盖病毒的执行。


7.Trojan.Prosiak.070.7
破坏方法:
将自己复制三份到 %SYSTEM% 目录下 MSFTP.DRV , COMMAND.DLL , SHLOPEN32.DLL 并驻留内存!!
删除 %SYSTEM% 目录下的 WINDLL32.EXE , VBRUN60.EXE , GDI32.EXE , MSJET32.EXE 和 RUNDLL32.EXE 文件!!!






8.TrojanDownloader.Slime.b
破坏方法:病毒“史莱姆”病毒将从:http://***.nease.net/index1.htm下载文件并执行,
文件index1.htm就是病毒“网际神偷”
HKCR\exefile\shell\open\command
"%SYSDIR%\%CURFILE% "%1" %*"



9.Trojan.Prosiak.070.5
破坏方法:
将自己复制到 %SYSTEM% 目录下并改名为 PROSIAK_TROJAN.EXE,驻留内存.
并删除 %SYSTEM% 目录下的 WINDLL32.EXE , VBRUN60.EXE , GDI32.EXE , MSJET32.EXE 和 RUNDLL32.EXE 文件!!




10.TrojanProxy.Sysview.enc
破坏方法:代理木马病毒采用VC++编写,UPX压缩,运行后将建立一个隐藏代理服务器HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Initialization
"%CURBASE%\%CURFILE%"


11.TrojanProxy.Sysview
破坏方法:木马病毒采用VC++编写,UPX压缩,运行后将建立一个隐藏代理服务器HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Initialization
"%CURBASE%\%CURFILE%"


12.Trojan.Prosiak.070
破坏方法:
将自己复制到 %SYSTEM% 目录 MSFTP.DRV ,驻留内存!!
删除 %SYSTEM% 目录下的 WINDLL32.EXE ,VBRUN60.EXE ,GDI32.EXE ,MSJET32.EXE 和RUNDLL32.EXE 文件!!!






13.Trojan.PSW.Hukle.i1
破坏方法:偷密码的木马病毒采用VC编写,UPX压缩,是一种在系统中安装钩子来盗取用户信息的木马HKEY_CLASSES_ROOT\exefile\shell\open\command
"%SYSDIR%\%CURFILE%" "%1" %*


14.Trojan.PSW.Hukle.i1.enc
破坏方法:偷密码的木马病毒采用VC编写,UPX压缩,是一种在系统中安装钩子来盗取用户信息的木马HKEY_CLASSES_ROOT\exefile\shell\open\command
"%SYSDIR%\%CURFILE%" "%1" %*


15.Trojan.Prosiak.047
破坏方法:
将自己复制到 %SYSTEM% 目录下并改名为 WINDLL32.EXE,并驻留内存.
删除 %SYSTEM% 目录下的 RUNDLL.EXE , MSRSDK.EXE和 MSTX32.EXE 三个文件





16.Trojan.Prosiak.070.7.b
破坏方法:
  伪装成winamp的自解压安装包的木马后门,当该病毒运行后将提示安装后发生错误欺骗
用户,实际驻留内存等待控制台传来的控制命令。



17.Trojan.Prosiak.070.7.b.enc
破坏方法:
  伪装成winamp的自解压安装包的木马后门,当该病毒运行后将提示安装后发生错误欺骗
用户,实际驻留内存等待控制台传来的控制命令。



18.Trojan.Nethief.x
破坏方法:木马网际神偷的服务端病毒采用Telock压缩。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Internet
"%CURFILE%"


19.Trojan.IRC.Mesa
破坏方法:IRC木马这是一个IRC木马的rar自释放压缩包文件,包内包含病毒要用到的病毒组件


20.Trojan.SuperWay.Qj
破坏方法:Trojan.SuperWay.Qj的服务端程序,盗取游戏账号密码发送到指定信箱


21.Trojan.SuperWay.Qj.enc
破坏方法:Trojan.SuperWay.Qj的服务端程序,盗取游戏账号密码发送到指定信箱


22.Trojan.Winfun.62
破坏方法:Trojan.Winfun的程序组件。修改c:\boot.ini,导致系统无法启动!


23.Trojan.Winfun.62.enc
破坏方法:Trojan.Winfun的程序组件。修改c:\boot.ini,导致系统无法启动!


24.Trojan.PSW.Hukle.i1.dll
破坏方法:病毒“Trojan.PSW.Hukle.i1”使用的动态连接库文件


25.Trojan.PSW.Hukle.i1.dll.enc
破坏方法:病毒“Trojan.PSW.Hukle.i1”使用的动态连接库文件


26.Dropper.KillRis
破坏方法:表面上是外挂安装程序,会释放病毒Trojan.killris


27.Trojan.VagrNocker20
破坏方法:Trojan.VagrNocker20的客户控制台程序。


28.Trojan.SuperWay.Qj.set
破坏方法:Trojan.SuperWay.Qj的服务端配制程序。


29.Trojan.SuperWay.Qj.set.enc
破坏方法:Trojan.SuperWay.Qj的服务端配制程序。


30.Trojan.VagrNocker20.EditServer
破坏方法:Trojan.VagrNocker20的服务配置生成器


31.Exploit.DCom.Gui
破坏方法:RPC DCOM漏洞探测攻击工具<图形界面>


32.Exploit.DCom.Gui.enc
破坏方法:RPC DCOM漏洞探测攻击工具<图形界面>


33.Trojan.SuperWay.Cq
破坏方法:Trojan.SuperWay.Cq的配制生成器。


34.Trojan.SuperWay.Cq.enc
破坏方法:Trojan.SuperWay.Cq的配制生成器。


35.Trojan.SuperWay.Mir3.set
破坏方法:Trojan.SuperWay.Mir3的配置生成器


36.Trojan.SuperWay.Mir3.set.enc
破坏方法:Trojan.SuperWay.Mir3的配置生成器


37.Trojan.SuperWay.Mir3
破坏方法:Trojan.SuperWay.Mir3的服务端程序


38.Trojan.SuperWay.Mir3.enc
破坏方法:Trojan.SuperWay.Mir3的服务端程序


39.Trojan.LMir.tianyan.dll
破坏方法:Trojan.LMir.tianyan的程序组件。


40.Trojan.SuperWay.Cq.a
破坏方法:Trojan.SuperWay.Cq的程序组件。


41.Trojan.Tron
破坏方法:Trojan.Tron的客户控制台程序。


42.Trojan.Zdziubus.client
破坏方法:Trojan.Zdziubus的控制台程序。


43.Trojan.Zdziubus.server
破坏方法:Trojan.Zdziubus的服务端程序。


44.Trojan.LMir.yl.a
破坏方法:Trojan.LMir.yl.a的配制生成器


45.Trojan.SuperWay.Cq.a.enc
破坏方法:Trojan.SuperWay.Cq程序组件。


46.Trojan.VagrNocker20.server
破坏方法:Trojan.VagrNocker20的服务端


47.Trojan.Supergirl
破坏方法:Trojan.Supergirl程序组件。


48.Trojan.TronServer
破坏方法:Trojan.Tron的服务端程序。


49.Exploit.DCom.f
破坏方法:RPC DCOM漏洞探测攻击工具


50.Trojan.KillRis
破坏方法:这个病毒试图终止瑞星监控


51.Trojan.TODv2.Server
破坏方法:Trojan.TODv2的程序组件。


52.Trojan.TronScanner
破坏方法:Trojan.Tron的程序组件。


53.Trojan.Prosiak.065
破坏方法:木马客户端
客户端



54.Trojan.Yxscreen
破坏方法:一个远程监视程序。


55.Trojan.Prosiak.061
破坏方法:木马客户端


56.Trojan.Prosiak.070.2
破坏方法:木马客户端


57.Trojan.Prosiak.120.enc
破坏方法:木马客户端


58.Trojan.Prosiak.120
破坏方法:木马客户端


59.Trojan.Prosiak.061.enc
破坏方法:木马客户端


60.Trojan.Prosiak.065.enc
破坏方法:木马客户端


61.Trojan.Prosiak.070.2.enc
破坏方法:木马客户端


62.Trojan.Prosiak.070.b
破坏方法:木马客户端


63.Trojan.Prosiak.070.5.enc


64.Trojan.Prosiak.047.enc


65.Trojan.Prosiak.070.enc


66.Trojan.Prosiak.070.7.enc


67.Trojan.Freeweb.dll

反病毒论坛】 【网络安全论坛】 【在线技术支持论坛】 【打印】 【关闭】    
  相关文章
  • 瑞星升级报告:15.49.02版可查杀“冲击波IV”
  • 瑞星紧急升级报告:15.49.01版新增“冲击波杀手”等5个可查杀病毒
  • 瑞星升级报告:15.49版新增151个可查杀病毒



    		•
    信息安全 源自瑞星

    百度中文搜索引擎
    排行榜