当前位置: >> 首页 >> 病毒频道 >> 升级报告 >> 升级报告
资讯 病毒
 
瑞星升级报告:16.41.40版新增95个可查杀病毒

www.rising.com.cn  2004-8-27 16:51:00  信息源:瑞星公司
广告  

16.41.40版新增95个可查杀病毒,主要包括: DOS下的COM病毒(1)WINDOWS下的PE病毒(93);脚本病毒(1);


DOS下的COM病毒(1)

1.Boot.WYX.b

破坏方法:感染硬盘主引导区、逻辑引导区以及软盘引导区的病毒。



WINDOWS下的PE病毒(93)

2.Worm.Mail.Smith.e
破坏方法:采用Borland C++写的病毒,通过邮件传播自己,运行后将导致计算机无法正常使用。


病毒运行后有以下行为:
一、修改下列注册表键:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   "WinServer.exe" = "C:\WINDOWS\system32\WinServer.exe"
2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   "WinBios.exe" = "C:\WINDOWS\system32\WinBios.exe"
3. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   "NetBios.exe" = "C:\WINDOWS\system32\NetBios.exe"
4. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   "NetServer.exe" = "C:\WINDOWS\system32\NetServer.exe"
5. HKLM\SOFTWARE\Classes\.inf\(默认) = "txtfile"  原来为:inffile
6. HKLM\SOFTWARE\Classes\.reg\(默认) = "txtfile"  原来为:regfile
7. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   DisableRegistryTools = 0x1
8. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoRun = 0x1
9. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoDrives = 0x8
10.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoRealMode = 0x1
11.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoLogOff = 0x1
12.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoSetTaskBar = 0x1
13.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explore
   NoChangeStartMenu = 0x1
14.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoStartMenu = 0x1
15.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoSetFolders = 0x1
16.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoFolderOptions = 0x1
17.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoFind = 0x1
18.HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoRecentDocsMenu = 0x1
19.HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main
   "Show_URLToolBar" = "no"
20.HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main
   "Show_StatusBar" = "no"
21.HKU\.DEFAULT\Control Panel\desktop
   "AutoEndTasks" = "no"
22.HKCR\txtfile\shell\open\command\(默认) = "C:\WINDOWS\system32\WinNote.exe"
23.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinLogon
   "LegalNoticeCaption" = "美丽的丽江"
   "LegalNoticeText" = "欢迎进入美丽的丽江!"

二、将自己复制到以下目录:
C:\WINDOWS\system32\WinServer.exe
C:\WINDOWS\system32\Setup.exe
C:\WINDOWS\system32\NetBios.exe
C:\WINDOWS\system32\NetServer.exe
C:\WINDOWS\system32\WinNote.exe
C:\WINDOWS\system32\WinProfile.exe
C:\WINDOWS\system32\WinLoadfile.exe
C:\WINDOWS\system32\WinAuto.exe
C:\WINDOWS\system\WinConfig.exe

三、通过邮件传播自己:
邮件接收用户名为:username@sina.com.cn 、username@263.com.cn、username@163.com、username@126.com、username@263.net、username@yahoo.com.cn、username@sohu.com、username@china.com、username@hotmail.com、username@msn.com,其中"username"为下列字符串的随机组合:zhang  li  ling  lie  le  la  lao  liao  ca  cai  co  cu  cun  can  ce  bai  bi  bao  bo
bang  di  da  dan  dang    du  dun  de  ding  din  e  er  en  eng  fu  fa  fen  fan  
fong    feng  hua  hao  hen  huo  ha  hong  ka  kan  ke  ku  kong  la


3.Backdoor.RMTSvc.e
破坏方法:后门病毒


 这是一个为远程控制提供后门的病毒,此病毒不需要专门的客户端,通过IE浏览器即可控制感染的系统

 病毒的主要功能如下:
     1. 具有一般后门病毒的功能,包括进程管理<病毒可以远程管理进程,显示远程系统的信息>,盗取administrator用户密码,获得cpu/内存占用率、上传下载文件、抓屏等;

     2. 代理服务功能 - 该病毒可以建立代理服务器;
     
     3. Ftp和Telnet服务 - 病毒可以提供ftp服务和telnet服务;

     4. vIDC服务 - vIDC就是不真正提供空间,但你却能在上面建立自己的web服务(网站)或者其它TCP服务,它允许你将局域网内的服务映射到internet上,因此在局域网内被感染也能被控制。

     5. msnbot - 通过msn进行远程控制,本地感染的系统通过登录MSN成为一个bot<不需安装微软的MSN软件>,因此在远程机器上通过MSN就可以控制被感染的系统。

 病毒相关文件:
   rmtSvc.exe - 病毒的执行程序
   
   inject.dll - 病毒的控制功能模块,文件名可能会改变

   msnlib.dll - 病毒的msnbot功能模块,文件名可能变化

 病毒存在保护机制,因此在清除病毒时需要打开文件监控。
破坏方法:
  1.监听本地端口:病毒默认监听TCP端口7778,可配置
  2.中此病毒将导致任何未授权的攻击者能够控制已感染的系统
  3.当感染此病毒并被未授权者控制后,由于该病毒会监视系统的许多功能,因此势必造成系统资源的消耗。



4.Worm.Pikis.b
破坏方法:一个蠕虫病毒
病毒行为:
  病毒运行后将自己复制到%SYSTEM%目录下,文件名为:CRACK_BAT.EXE,SYSTEMS.EXE
IQ.DAT,FTTP.EXE
并修改系统文件.system.ini在其中的[boot]节中的shell里加入自己systems.exe

   病毒首次运行时将显示一个消息框“Install Crack for WindowsXP Sp2 99.006.34?”并在用户点Yes之后提示"Not found package WindowsXP Sp2!"。病毒借此来欺骗用户进行伪装。

Dos攻击:
   当系统日期大于等于23号时,病毒将对"Http://***www.ufacom.ru","Http://***www.sco.com"发动Dos攻击。

局域网传播:
   病毒枚举局域网资源,并尝试联接到目标系统,将自己复制到目标系统,路径为\C$\porno.exe以达到传播目的。

邮件传播:
   病毒通过搜索C:\,D:\文件中的Email地址,并对其进行发送病毒邮件达到传播目的。
邮件标题:
“Hello”,“Forum”,“Crack”..
邮件正文:
 “Install package. Enjoy!”,“Access Denied!!!  Please enter password:JJJK56RtE 
and install pack”
附件名为:
  GetAdmin.exe, Setup.exe,Crack.exe...



5.Trojan.PowerSpider.2005
破坏方法:窃取用户信息的木马病毒

可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码, 如: OICQ/QQ, ICQ, Outlook, Foxmail, 电子邮箱, 网吧上网账号, 软件注册码、各种游戏软件, 各种财务软件, 各种管理软件, 拨号上网, 共享目录, 屏保等等, 以及各种在网页的登录密码, 如: Web邮件, 江湖论坛, 聊天室, 密码保护资料等。另外还可捕获有加密的游戏密码, 亲自通过测试的有:传奇、奇迹、千年、红月、边锋、联众、倚天、精灵、大话西游、石器时代等!




6.Trojan.VB.w
破坏方法:将自己复制到 %WINDOWS% 目录下 SCRIPT.EXE ,驻留内存.
同时在该目录下生成 SYSPACK.INI 和 修改 SYSTEM.INI 文件。

修改 SYSTEM.INI 文件中的 
              [boot]
              shell=Explorer.exe script.exe 项!以达到下次开机时自启动该文件!



7.TrojanProxy.Win32.Mitglieder.bg
破坏方法:一、监听本地41417端口,等待远程控制命令。
二、频繁扫描内存,终止常用反病毒软件。
三、试图下载http://***alliwebdesign.com/netbank.exe的病毒到本地运行。
四、把自己复制到系统目录中,命名为“window.exe”。
修改注册表,添加自启动项“window.exe”



8.TrojanProxy.Win32.Mitglieder.be
破坏方法:木马病毒。

一、监听本地41417端口,等待远程控制命令。
二、频繁扫描内存,终止常用反病毒软件。
三、试图下载http://***www.ruffest.biz的病毒到本地运行。
四、把自己复制到系统目录中,命名为“window.exe”。
修改注册表,添加自启动项“window.exe”



9.TrojanProxy.Win32.Mitglieder.bh
破坏方法:一、监听本地15804端口,等待远程控制命令。
二、频繁扫描内存,终止常用反病毒软件。
三、试图下载http://***192.168.0.2的病毒到本地运行。
四、把自己复制到系统目录中,命名为“windll32.exe”。
修改注册表,添加自启动项“windll32.exe”



10.Trojan.PSW.Lmir.tp
破坏方法:盗取传奇密码的木马。将自己拷贝到windows目录下,并修改注册表使其能开机自启动。还会将自己复制到系统目录下,文件名为winsocks.dll。枚举进程,可结束各种著名的杀毒软件和防火墙,如瑞星,天网防火墙。



11.Backdoor.Spyboter.cs
破坏方法:病毒动态库,通过创建远程线程插入到正常进程中执行。连接IRC特定服务器和特定频道,与控制端进行交流。



12.Trojan.AllLight.21.ser
破坏方法:Trojan.AllLight.21的服务端。修改注册表,驻留内存接受控制台传来的控制命令。



13.Trojan.Win32.VirusWizard
破坏方法:一个病毒生成器,该程序可以简单的让用户选择几个选项生成一个简单的病毒。



14.Trojan.Jmz1866
破坏方法:伪装为注册表清理工具,在后台开端口接受客户控制台传来的控制命令。



15.Trojan.Downloader.Win32.Small.o
破坏方法:一个自动下载器,病毒运行后自动从指定网站将后门程序下载下来运行。



16.TrojanSpy.Win32.VB.ai
破坏方法:一个用vb编写的记录用户键盘击键消息的木马病毒。



17.Backdoor.RBot.ip
破坏方法:Rbot病毒变种。被一种很新的不知名的壳压缩过。



18.TrojanProxy.Win32.Ranky.j
破坏方法:非法将本地计算机作为代理服务器的木马病毒 。



19.Trojan.Win32.VFL.Client
破坏方法:木马Trojan.Win32.VFL的客户控制台程序。



20.TrojanDropper.Win32.Small.ij
破坏方法:释放病毒 TrojanSpy.Win32.Banker.n。



21.TrojanSpy.Win32.Agent.a.dll
破坏方法:TrojanSpy.Win32.Agent.a的动态库 。



22.Trojan.Win32.Khaos.b
破坏方法:一个不断启动notepad的恶意木马。



23.Not_Virus_Remover
破坏方法:这是某个键盘记录器的清除工具。



24.TrojanProxy.Win32.Mitglieder.ad
破坏方法:木马病毒使用的辅助文件。



25.Trojan.Win32.Ume
破坏方法:一个木马服务端扫描器。



26.TrojanDownloader.Win32.small.nc
破坏方法:下载病毒到本地执行。



27.Trojan.StartPage.ak
破坏方法:破坏IE主页的木马。



28.TrojanDownloader.Win32.Agent.am
破坏方法:下载病毒到本地。



29.TrojanDownloader.Win32.Guardian.a
破坏方法:下载病毒到本地。



30.TrojanDownloader.Win32.Small.op
破坏方法:下载病毒到本地。



31.Backdoor.RBot.il
破坏方法:rbot病毒变种。



32.TrojanDropper.Win32.Small.in
破坏方法:释放一个病毒。



33.TrojanDropper.Win32.Small.im
破坏方法:释放一个病毒。



34.TrojanDropper.Win32.Small.il
破坏方法:释放一个病毒。



35.TrojanDropper.Win32.Small.io
破坏方法:释放一个病毒。



36.TrojanDropper.Win32.VB.bi
破坏方法:释放一个病毒。



37.TrojanSpy.Win32.Small.i
破坏方法:一个木马病毒。



38.TrojanSpy.Win32.Small.k
破坏方法:一个木马病毒。



39.TrojanSpy.Win32.Starax
破坏方法:一个木马病毒。



40.Trojan.Jmz190up
破坏方法:一个木马病毒。



41.Trojan.PSW.Mirpn.10.Editor
破坏方法:病毒配置工具 。



42.Backdoor.RBot.iq
破坏方法:IRC后门程序 。



43.TrojanProxy.Win32.Mitglieder.bf
破坏方法:木马病毒。



44.TrojanDownloader.Liveup.d
破坏方法:病毒下载器。



45.Backdoor.RBot.in
破坏方法:后门病毒。



46.Backdoor.UsingAdmd.b
破坏方法:后门病毒。



47.TrojanProxy.Win32.Raznew.a
破坏方法:木马病毒。



48.TrojanDropper.Win32.Small.hw
破坏方法:释放病毒。



49.TrojanDropper.Win32.Small.hp
破坏方法:释放病毒。



50.Backdoor.VB.jq
破坏方法:后门病毒。



51.Backdoor.VB.jq.b
破坏方法:后门病毒。



52.Backdoor.VB.jq.c
破坏方法:后门病毒。



53.Backdoor.SdBot.yh
破坏方法:后门病毒。



54.TrojanDropper.Win32.Small.ho
破坏方法:释放病毒。



55.Hack.Gangdom.a
破坏方法:黑客工具。



56.TrojanProxy.Win32.Mitglieder.bi


57.TrojanProxy.Win32.Mitglieder.bj


58.TrojanProxy.Omnitex.a


59.Trojan.Pandora.c


60.Backdoor.RBot.io


61.Hack.Attacker.a


62.Backdoor.ZXshell.d


63.Backdoor.ZXshell.e


64.Trojan.Win32.Scagent.a


65.Trojan.PSW.Mirpn.10.Dll


66.Trojan.PSW.Mirpn.10


67.Backdoor.RBot.im


68.Trojan.HuiGeZi2004.g


69.TrojanDownloader.Win32.Small.oo


70.Backdoor.Mifeng.Client


71.Worm.BBeagle.ax


72.Trojan.Win32.Setcrack


73.I-Worm.NewApt.a


74.I-Worm.NewApt.b


75.I-Worm.NewApt.c


76.I-Worm.NewApt.d


77.I-Worm.NewApt.e


78.I-Worm.NewApt.f


79.I-Worm.Newpic.b


80.I-Worm.Newpic.e


81.Worm.XCod


82.Worm.Scorpion


83.Worm.Secet


84.Worm.Shatrix


85.Worm.Shuq.b


86.Worm.Shuq.f


87.TrojanDropper.Win32.Small.ht


88.TrojanDropper.Win32.Small.hq


89.TrojanDropper.Win32.Small.hr


90.TrojanDropper.Win32.Small.hv


91.TrojanProxy.Win32.Dalixy.g.dll


92.Backdoor.SdBot.yi


93.Trojan.Win32.VB.bb


94.Junk.NetSky.c


脚本病毒(1)

95.TrojanDropper.VBS.Taorao




下载瑞星杀毒软件 个人防火墙 在线杀毒】 【反病毒论坛】【打印】 【关闭窗口
 相关文章
  • 瑞星升级报告:16.41.30版新增68个可查杀病毒
  • 瑞星升级报告:16.41.20 版新增 80个可查杀病毒
  • 瑞星升级报告:16.41.10 版新增80个可查杀病毒
  • 瑞星升级报告:16.41 版新增85个可查杀病毒




  • 信息安全 源自瑞星