本周15.51.10版新增49个可查杀病毒,主要包括: WINDOWS下的PE病毒(43);脚本病毒(4);普通文件病毒(2)。
WINDOWS下的PE病毒(43)
1.Worm.Atale.b
破坏方法:VB写的蠕虫1.病毒会Ping下列网站
www.sina.com.cn
www.dell.com
www.winzheng.com
www.yn.cninfo.net
www.km169.net
www.163.com
2.隐藏后台,登记为自启动,破坏ini文件关联。
3.拷贝自己为下列文件之一,作为脚本发送邮件时的附件
\Temporary Internet Files\Helpme.exe
\Temporary Internet Files\Myphoto.jpg.exe
\Temporary Internet Files\Islove.jpg.exe
\Temporary Internet Files\Helpme.jpg.exe
\Temporary Internet Files\Myphoto.exe
\Temporary Internet Files\Islove.exe
4.随机释放脚本文件来发送携带病毒的邮件。
5.病毒会生成一个文件:WinStart.bat,用来格式化c:盘,此文件中包含字符串:
“In Process Of Format Your Hard-Disk......”
6.病毒会修改系统文件:Autoexec.bat,使用户启动时看到如下信息:
Warning! illegal access error!
a fatal BIOS error,be incapable of data to load......
7.病毒会修改win.ini文件,并在此文件中添加如下文字:
sCountry=United States
8.病毒弹出消息框时的消息一般为:
消息:"United States must for Wei.Wang pay out price!"->中文意思为:"美国人必须为王伟付出代价!"
标题:"Autumnal Fairy Tale"
消息:"United States is dye-in-the-wood of ruffian and cur!"->中文意思为:"美国人是彻头彻尾的流氓恶棍"
标题:"Fuck America!"
消息:"The People's Republic of China Banzai!"->中文意思为:"中华人民共和国万岁"
标题:"To unify the TanWai by China!"
消息:"No War!Peace Banzai!"
标题:"(Autumnal Fairy Tale)"->中文意思为:"秋天的童话"
消息:"Format Your Hard-Disk......"
标题:"System Error!"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"默认'="%CURFIEL%"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"默认'="%CURFIEL%"
2.Worm.Atale.a.enc
破坏方法:1.病毒会Ping下列网站
www.sina.com.cn
www.dell.com
www.winzheng.com
www.yn.cninfo.net
www.km169.net
www.163.com
2.隐藏后台,登记为自启动,破坏ini文件关联。
3.拷贝自己为下列文件之一,作为脚本发送邮件时的附件
\Temporary Internet Files\Helpme.exe
\Temporary Internet Files\Myphoto.jpg.exe
\Temporary Internet Files\Islove.jpg.exe
\Temporary Internet Files\Helpme.jpg.exe
\Temporary Internet Files\Myphoto.exe
\Temporary Internet Files\Islove.exe
4.随机释放脚本文件来发送携带病毒的邮件。
5.病毒会生成一个文件:WinStart.bat,用来格式化c:盘,此文件中包含字符串:
“Because you don't love your motherland. So we are formating Your Hard-Disk......”
6.病毒会修改系统文件:Autoexec.bat,使用户启动时看到如下信息:
Warning! illegal access error!
a fatal BIOS error,be incapable of data to load......
7.病毒会修改win.ini文件,并在此文件中添加如下文字:
sCountry=United States
8.病毒弹出消息框时的消息一般为:
消息:"Japan must for 1931-9-18 pay out price!"->中文意思为:"日本人必须为9.18付出代价"
标题:"Fuck the Japanese"
消息:"Japan is dye-in-the-wood of ruffian and cur!"->中文意思为:"日本人是彻头彻尾的流氓恶棍"
标题:"Fuck Japanese!"
消息:"Japanese are PIGs!!!! "
标题:"Fuke USA!"
消息:"The People's Republic of China Banzai!"->中文意思为:"中华人民共和国万岁"
标题:"To unify the TanWai by China!"
消息:"No War!Peace Banzai!"
标题:"(Autumnal Fairy Tale)"->中文意思为:"秋天的童话"
消息:"Format Your Hard-Disk......"
标题:"System Error!"
3.Worm.Atale.a
破坏方法:1.病毒会Ping下列网站
www.sina.com.cn
www.dell.com
www.winzheng.com
www.yn.cninfo.net
www.km169.net
www.163.com
2.隐藏后台,登记为自启动,破坏ini文件关联。
3.拷贝自己为下列文件之一,作为脚本发送邮件时的附件
\Temporary Internet Files\Helpme.exe
\Temporary Internet Files\Myphoto.jpg.exe
\Temporary Internet Files\Islove.jpg.exe
\Temporary Internet Files\Helpme.jpg.exe
\Temporary Internet Files\Myphoto.exe
\Temporary Internet Files\Islove.exe
4.随机释放脚本文件来发送携带病毒的邮件。
5.病毒会生成一个文件:WinStart.bat,用来格式化c:盘,此文件中包含字符串:
“Because you don't love your motherland. So we are formating Your Hard-Disk......”
6.病毒会修改系统文件:Autoexec.bat,使用户启动时看到如下信息:
Warning! illegal access error!
a fatal BIOS error,be incapable of data to load......
7.病毒会修改win.ini文件,并在此文件中添加如下文字:
sCountry=United States
8.病毒弹出消息框时的消息一般为:
消息:"Japan must for 1931-9-18 pay out price!"->中文意思为:"日本人必须为9.18付出代价"
标题:"Fuck the Japanese"
消息:"Japan is dye-in-the-wood of ruffian and cur!"->中文意思为:"日本人是彻头彻尾的流氓恶棍"
标题:"Fuck Japanese!"
消息:"Japanese are PIGs!!!! "
标题:"Fuke USA!"
消息:"The People's Republic of China Banzai!"->中文意思为:"中华人民共和国万岁"
标题:"To unify the TanWai by China!"
消息:"No War!Peace Banzai!"
标题:"(Autumnal Fairy Tale)"->中文意思为:"秋天的童话"
消息:"Format Your Hard-Disk......"
标题:"System Error!"
4.Worm.Blaster.f.enc
破坏方法:蠕虫使用UPX+Aspack压缩,是“冲击波”新变种,病毒一旦运行,将进行下列动作:
1. 如果当前日期是16号-31号或当前月份大于8,病毒就会对“tuiasi.ro”进行拒绝
服务攻击,这是一个在tuiasi.ro的端口80上的SYN洪水攻击,每秒将发送50个HTTP包,每个包长度为
40个字节。
病毒本内有一段文本信息:
"What You Should Know About the Blaster Worm and Its Variants."
2. 向TCP端口发送DCOM RPC的漏洞攻击包,试图感染远程机器,一旦成功,病毒将在远程机器上建立
一个隐藏的shell进程,监听TCP端口4444,等待远程攻击者的命令
3.病毒在攻击操作系统为win2k和winXp的远程机器,攻击时间分配如下:
1/5时间攻击win2k
4/5时间攻击winXp
4.病毒监听本地UDP端口69,用来与远程被感染的机器通讯
附加说明:
RPC漏洞:
漏洞主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包
导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数
有有效性检查,导致缓冲区溢出。
病毒危害:
遭此病毒攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地
连接等,一些基于RPC,DCOM的服务与应用将无法正常运行,由于RPC服务是MS WINDOWS中一个
重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默
认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃
以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息,
此病毒就是利用这个原理来进行传播
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"www.hidro.4t.com "="enbiei.exe"可能导致系统崩溃导致tuiasi.ro的交通堵塞
5.Worm.Agobot.r.enc
破坏方法:利用微软漏洞和弱口令猜测传播的蠕虫病毒采用MS VC++6.0编写,UPX压缩,是通过网络共享弱口令猜测和微软漏洞传播的蠕虫
病毒利用的漏洞有:
1. RPC DCOM漏洞, 端口:135
2. RPC locator漏洞 端口:445
病毒一旦执行,将执行下列操作:
1.复制自身到如下目录:
%SYSDIR%\SVCHOS1.EXE
%SYSDIR%\RPCFIX.EXE
并修改注册表以使自己随系统启动启动
2.病毒打开一个随机的端口连接到其master
3.自动连接到一个预定义的IRC服务器的一个channel,使用这个channel监听来自其master的指令,
其指令可能为:
Manage the installation of the worm
Dynamically update the installed worm
Download and execute files
Steal the compromised system's information
Send the worm to other IRC users
Add accounts for the hacker
4.打开并监听22227端口,用来给其它机器提供病毒体下载;
5.探测RPC DCOM和RPC locator漏洞
6.使用下列用户/密码组合来猜测共享:
54321
654321
123456789
12345678
1234567
123456
12345
1234
Password
password
Admin
qwer
asdf
temp
test
home
Dell
Inviter
...
...
...
...HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"MS Config Loader" = SVCHOSl.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
"MS Config Loader" = SVCHOSl.EXE
6.Worm.Agobot.r
破坏方法:利用微软漏洞和弱口令猜测传播的蠕虫病毒采用MS VC++6.0编写,UPX压缩,是通过网络共享弱口令猜测和微软漏洞传播的蠕虫
病毒利用的漏洞有:
1. RPC DCOM漏洞, 端口:135
2. RPC locator漏洞 端口:445
病毒一旦执行,将执行下列操作:
1.复制自身到如下目录:
%SYSDIR%\SVCHOS1.EXE
%SYSDIR%\RPCFIX.EXE
并修改注册表以使自己随系统启动启动
2.病毒打开一个随机的端口连接到其master
3.自动连接到一个预定义的IRC服务器的一个channel,使用这个channel监听来自其master的指令,
其指令可能为:
Manage the installation of the worm
Dynamically update the installed worm
Download and execute files
Steal the compromised system's information
Send the worm to other IRC users
Add accounts for the hacker
4.打开并监听22227端口,用来给其它机器提供病毒体下载;
5.探测RPC DCOM和RPC locator漏洞
6.使用下列用户/密码组合来猜测共享:
54321
654321
123456789
12345678
1234567
123456
12345
1234
Password
password
Admin
qwer
asdf
temp
test
home
Dell
Inviter
...
...HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"MS Config Loader" = SVCHOSl.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
"MS Config Loader" = SVCHOSl.EXE
7.Trojan.PSW.NewSuper.b.dll
破坏方法:1.该病毒登记为自启动,终止下列反病毒软件。
kvapfw.exe
kvfw.exe
DFVSNET.EXE
PasswordGuard.exe
EGhost.exe
Iparmor.exe
pfw.exe
mu.exe
2.查找“传奇客户端”和“Legend of Mir 3”窗口试图取得密码。
3.在每个根目录下创建自己拷贝:exploer.exe
释放autorun.inf文件,指向病毒。
8.Trojan.PSW.NewSuper.c
破坏方法:1.该病毒登记为自启动,终止下列反病毒软件。
kvapfw.exe
kvfw.exe
DFVSNET.EXE
PasswordGuard.exe
EGhost.exe
Iparmor.exe
pfw.exe
mu.exe
2.查找“传奇客户端”和“Legend of Mir 3”窗口试图取得密码。
3.在每个根目录下创建自己拷贝:exploer.exe
释放autorun.inf文件,指向病毒。
9.Trojan.PSW.NewSuper.c.enc
破坏方法:1.该病毒登记为自启动,终止下列反病毒软件。
kvapfw.exe
kvfw.exe
DFVSNET.EXE
PasswordGuard.exe
EGhost.exe
Iparmor.exe
pfw.exe
mu.exe
2.查找“传奇客户端”和“Legend of Mir 3”窗口试图取得密码。
3.在每个根目录下创建自己拷贝:exploer.exe
释放autorun.inf文件,指向病毒。
10.Trojan.PSW.NewSuper.c.dll
破坏方法:1.该病毒登记为自启动,终止下列反病毒软件。
kvapfw.exe
kvfw.exe
DFVSNET.EXE
PasswordGuard.exe
EGhost.exe
Iparmor.exe
pfw.exe
mu.exe
2.查找“传奇客户端”和“Legend of Mir 3”窗口试图取得密码。
3.在每个根目录下创建自己拷贝:exploer.exe
释放autorun.inf文件,指向病毒。
11.Trojan.PSW.NewSuper.b
破坏方法:1.该病毒登记为自启动,终止下列反病毒软件。
kvapfw.exe
kvfw.exe
DFVSNET.EXE
PasswordGuard.exe
EGhost.exe
Iparmor.exe
pfw.exe
mu.exe
2.查找“传奇客户端”和“Legend of Mir 3”窗口试图取得密码。
3.在每个根目录下创建自己拷贝:exploer.exe
释放autorun.inf文件,指向病毒。
12.Trojan.PSW.NewSuper.b.enc
破坏方法:1.该病毒登记为自启动,终止下列反病毒软件。
kvapfw.exe
kvfw.exe
DFVSNET.EXE
PasswordGuard.exe
EGhost.exe
Iparmor.exe
pfw.exe
mu.exe
2.查找“传奇客户端”和“Legend of Mir 3”窗口试图取得密码。
3.在每个根目录下创建自己拷贝:exploer.exe
释放autorun.inf文件,指向病毒。
13.Backdoor.Muska.16
破坏方法:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Program Manager C:\WINDOWS\A堙029閅_2榕_E_O_W.EXE
14.Trojan.Liveup
破坏方法:这个病毒驻留内存,监听udp1030端口,下载http://***.2bro.com/down/的文件到本地为liveup.exe,并运行。
15.Trojan.Liveup.enc
破坏方法:这个病毒驻留内存,监听udp1030端口,下载http://***.2bro.com/down/的文件到本地为liveup.exe,并运行。
16.Win32.trion
破坏方法:启动后感染系统中的可执行文件,将被感染的文件体压缩、它把被感染文件的头4K存在文件的缝里。
17.Trojan.DownloaderInflict
破坏方法:
从指定网站自动下载exe文件并执行的木马。
18.Trojan.Huigezi.h.dll.enc
破坏方法:木马“Trojan.Huigezi.h”的功能模块
19.Trojan.Huigezi.h.dll
破坏方法:病毒“Trojan.Huigezi.h”功能模块
20.HackTool.FarAccess
破坏方法:这是一个远程访问的黑客工具
21.HackTool.FarAccess.enc
破坏方法:这是一个远程访问的黑客工具
22.Worm.Opasoft.o
破坏方法:蠕虫“Worm.Opasoft”变种
23.Worm.Opasoft.o.enc
破坏方法:蠕虫“Worm.Opasoft”变种
24.Worm.Blaster.e.enc
破坏方法:蠕虫“冲击波”变种
25.Trojan.Huigezi.h
破坏方法:木马“灰鸽子”变种
26.Trojan.Huigezi.h.enc
破坏方法:木马“灰鸽子”变种
27.HackTool.FbsdHack
破坏方法:这是一个黑客工具
28.HackTool.HotmailHack.b
破坏方法:这是一个黑客工具
29.HackTool.Lag.45
破坏方法:这是一个黑客工具
30.HackTool.Lag.45.enc
破坏方法:这是一个黑客工具
31.HackTool.MailHack
破坏方法:这是一个黑客工具
32.HackTool.AimScrName.101
破坏方法:这是一个黑客工具
33.HackTool.AimScrName.101.enc
破坏方法:这是一个黑客工具
34.HackTool.CntLink
破坏方法:这是一个黑客工具
35.Backdoor.Muska.13
破坏方法:木马客户端
36.Backdoor.Muska.12
破坏方法:木马客户端
37.Backdoor.Muska.10
破坏方法:
38.I-Worm.Lentin.b
破坏方法:
39.I-Worm.Myparty.b
破坏方法:
40.I-Worm.Lentin.b.enc
41.I-Worm.Myparty.b.enc
42.Win32.idyll.1556.a
43.Win95.Spaces.1445.a
脚本病毒(4)
44.Script.Worm.Atale
破坏方法:显示下列信息后重启机器。
"The People's Republic of China Banzai!"
"No War!Peace Banzai!"
"Format Your Hard-Disk......"
45.Vbs.Atale.Msimn
破坏方法:这是发送携带病毒邮件的脚本病毒,由troajn.Msimn.enc释放。
46.Script.WindowsBomb
破坏方法:这是一个疯狂的打开IE窗口的病毒,还会调用outlook发信
47.Vbs.Worm.Atale.b
破坏方法:这是发送携带病毒邮件的脚本病毒,由Worm.Atale释放。
普通文件病毒(2)
48.Worm.Bugbear.B.Dam.b
破坏方法:病毒“Worm.Bugbear”感染坏的文件
49.Harm.Reg.WebImport.f
|
相关文章
