本周15.59.21版新增3个可查杀病毒,主要包括: WINDOWS下的PE病毒(2);普通文件病毒(1);
WINDOWS下的PE病毒(2)
1.Worm.Mimail.c.enc
破坏方法:这个病毒是Worm.Mimail的变种,都是通过邮件进行病毒传播,但是它比Worm.Mimail传播速度更快,同时更具有攻击性。
1.首先拷贝自己成为%WINDOWS%\netwatch.exe,释放
zip.tmp(保存作为邮件附件的压缩包)
exe.tmp(保存病毒体自身)
2.在注册表run里面加入"NetWatch32" = "%Windows%\netwatch.exe"
3.搜索特定目录下除了特定类型之外的文件,从其中提取email地址保存到%Windows%\eml.tmp
目录如下:
C:\Program files
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders
特定类型是指扩展名是以下字符的文件:
com
wav
cab
pdf
rar
zip
tif
psd
ocx
vxd
mp3
mpg
avi
dll
exe
gif
jpg
bmp
4.通过访问www.google.com测试网络连接
5.通过自带的smtp引擎发送邮件
发件人: james@<当前域名>
收件人: eml.tmp中的邮件地址
标题: Re[2]: our private photos [随机信息]
正文:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
[随机信息]
附件: photos.zip
6.对以下站点发起DOS攻击
darkprofits.net
www.darkprofits.net
darkprofits.com
www.darkprofits.com
破坏方法:
1.修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"NetWatch32" = "%Windir%\netwatch.exe"
传播方法:
1.通过邮件传播,
收件人地址为: eml.tmp中的收件人
发件人地址为: Re[2]: our private photos [随机文字]
邮件附件为: photos.zip
清除方法:
可以采用瑞星杀毒软件的最新版本,或者瑞星的mimail专杀工具进行杀毒。
如果需要手动清除,请采用如下步骤:
1、查找并结束病毒进程:
开始-〉运行-〉taskmgr.exe,结束名为photos.jpg.exe ,netwatch.exe的进程。
2、清理注册表中的病毒自启动项。
开始-〉运行-〉regedit.exe,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run下的键值"NetWatch32" = "%Windir%\netwatch.exe"
3、删除以下病毒文件和病毒生成的文件:
C:\Documents and Settings\<当前用户名>\Local Settings\Temporary Internet Files\photos.jpg.exe
%Windir%\Netwatch.exe
%Windir%\eml.tmp
%Windir%\Zip.tmp
%Windir%\Exe.tmp
2.Worm.Mimail.c
普通文件病毒(1)
3.Worm.Mimail.c
|
相关文章