当前位置: >> 首页 >> 病毒频道 >> 升级报告 >> 升级报告
资讯 病毒
 
瑞星升级报告:17.12 版新增 111个可查杀病毒
www.rising.com.cn  2005-1-31 16:17:00  信息源:瑞星公司
广告  

17.12版新增111个可查杀病毒,主要包括: WINDOWS下的PE病毒(103)脚本病毒(2);普通文件病毒(6);


WINDOWS下的PE病毒(103)

1.Worm.P2P.Painkiller
破坏方法:通过P2P软件共享目录进行传播的蠕虫病毒

病毒采用VB编写。

病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"MSKernal32.exe"。
二、修改注册表以下键值,以达到其自启动的目的:
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:"MSKernel32"    数据值为:"%SYSDIR%\MSKERNAL32.EXE"

三、将自己复制到以下目录,这些目录是一些合法软件的共享目录:
C:\Program Files\KMD\My Shared Folder 
C:\Programme\KMD\My Shared Folder 
C:\Program Files\Grokster\My Grokster 
C:\Programme\Grokster\My Grokster 
C:\Program Files\Edonkey2000\Incoming 
C:\Programme\Edonkey2000\Incoming 
文件名有以下可能:
Painkiller Crack.exe
Doom3 Crack.exe 
smartripper 2.50.exe 
XP Crack.exe 
Zoo Tycoon 2 Crack.exe 
X Plane 8 Crack.exe 
Worms Forts Unter Belagerung Crack.exe 
GTR Crack.exe 
NHL 2005 Crack.exe 
Die Sims 2 Crack.exe 
Rome Crack.exe 
Tony Hawks Underground 2 Crack.exe 
Call of Duty Crack.exe 
Fu?ball Manager 2005 Crack.exe 
Madden 2005 Crack.exe 
star Wars Battlefront Crack.exe 
Top Spin Crack.exe 
Fifa 2005 Crack.exe 
Tiger Woods 2005 Crack.exe 
Dawn of War Crack.exe 
Call of Duty United Offensive Crack.exe 
Rollercoaster Tycoon 3 Crack.exe 
Full Spectrum Warrior Crack.exe 
Knights of Honor Crack.exe 
DEL Eishockey Manager 2005 Crack.exe 
Far Cry Crack.exe 
WarCraft 3 Crack.exe 
Gothic 2 Crack.exe 
Diablo 2 Crack.exe 
GTA Vice City Crack.exe 
Sacred Crack.exe 
Joint Operations Crack.exe 
Unreal Tournament 2004 Crack.exe 
Battlefield 1942 Crack.exe 
Need for Speed Underground Crack.exe 
Mafia Crack.exe 
Knights of the Old Republic Crack.exe 
Panzers Crack.exe 
C&C Gener?le Crack.exe 
XP Keygenerator.exe 
Xp Sp2 Keygenerator.exe 
Clone cd 4.2.0.2 Crack.exe 
Clone cd 4.2.0.2 Keygenerator.exe 
MS Windows 2000 Professional Keygenerator.exe 
Adobe Photoshop 10 crack.exe 
Adobe Photoshop CS 8.0 Keygenerator.exe 
Nero Burning Rom 6.0 Keygenerator.exe 
POWER POINT 2003 Keygenerator.exe 
Steinberg myMP3 Pro 5.0 Keygenerator.exe 
Autodesk AutoCAD 2005 Keygenerator.exe 
ACDSee 10.exe 
Steinberg Wavelab 4.0 Essential Keygenerator.exe 
Adobe Premiere 7.0 Pro WIN E Keygenerator.exe 
MS OFFICE XP Professional Keygenerator.exe 
TRUE IMAGE 7.0 Keygenerator.exe 
1001 Sex and more.rtf.exe 
3D Studio Max 6 3dsmax.exe 
Adobe Photoshop 10 full.exe 
Adobe Premiere 10.exe 
Ahead Nero 8.exe 
Altkins Diet.doc.exe 
American Idol.doc.exe 
Arnold Schwarzenegger.jpg.exe 
Best Matrix Screensaver new.scr 
Britney sex xxx.jpg.exe 
Star Office 9.exe 
Britney Spears and Eminem porn.jpg.exe 
Britney Spears blowjob.jpg.exe 
Britney Spears cumshot.jpg.exe 
Britney Spears fuck.jpg.exe 
Britney Spears full album.mp3.exe 
Britney Spears porn.jpg.exe 
Eminem Sexy archive.doc.exe 
Britney Spears Sexy archive.doc.exe 
Britney Spears Song text archive.doc.exe 
Britney Spears.jpg.exe 
Britney Spears.mp3.exe 
Clone DVD 6.exe 
Cloning.doc.exe 
Cracks & Warez Archiv.exe 
Dark Angels new.pif 
Dictionary English 2004 - France.doc.exe 
DivX 8.0 final.exe 
Doom 3 release 2.exe 
E-Book Archive2.rtf.exe 
Eminem bl


2.Worm.Protoride.h
破坏方法:通过局域网进行传播的蠕虫病毒

病毒采用VC编写,"UPX v0.94-1.90"压缩。

病毒运行后有以下行为:
一、修改注册表以下键值,以达到其自启动的目的:
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:"Windows Taskbar Manager"   数据值为病毒文件全路径

二、创建名为"'ProtoType_v2:Mutex:Cm0n!-G1v3_m3_s0m3_Cr3d1t!:"的互斥量以确定只有一个病毒文件在运行。

三、搜索网络中其他计算机,并试图用空的用户名及密码登录该计算机,如果登录成功,病毒会将自己复制到该计算机的以下目录:
\Documents and Settings\All Users\Start Menu\Programs\StartUp\WINDOWS
\Start Menu\Programs\StartUp\WIN98\Start Menu\Programs\StartUp\WINME\Start Menu\Programs\StartUp\WIN95\Start Menu\Programs\StartUp\Documents and Settings\All Users\Menu Iniciar
\Programas\Iniciar\WINDOWS\Menu Iniciar\Programas\Iniciar\WIN98\Menu Iniciar\Programas\Iniciar\WINME\Menu Iniciar\Programas\Iniciar\WIN95\Menu Iniciar\Programas\Iniciar……
(由于篇幅太长,无法全部列举)
文件名为:"internat.exe"

四、登录指定的IRC服务器,并以昵称"F1nal"加放"#F1nal Nu3va"聊天频道,为其控制端提供以下远程控制服务:
1.对指定IP进行拒绝服务攻击;
2.下载指定文件到本地运行;
3.重启动系统;
4.进程控制;
5.注册表控制;
6.获取本地计算系统信息。


3.Trojan.PSW.Lmir.abm
破坏方法:偷用户私人信息(例如:游戏账号密码)的木马病毒。

一、复制自身到Windows目录,命名为“svch0st_.exe”,把原来的程序文件删除。
    释放 lsas.bmp,这是一个dll类型的文件,负责截取用户键盘输入。
"lsas.bmp"以资源的方式存在病毒文件中,资源名称为“DllFile”。
该dll提供下列功能函数:
    StartHook   StopHook
    EnableKeyBoardHook9X DisableKeyboardHook9X

二、自启动。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon    
Shell = "Explorer.exe C:\WINNT\svch0st_.exe"

三、病毒主程序会终止下列反病毒软件,卸载“密码防盗专家 综合版”。
1.Symantec AntiVirus 企业版
2.江民杀毒软件 KV2004:实时监视
3.RavMon.exe
4.LockDownMain
5.ZoneAlarm
6.天网防火墙个人版
7.天网防火墙企业版
8.噬菌体
9.木马克星
10.EGHOST.EXE
11.MAILMON.EXE
12. KAVPFW.EXE

四、删除 Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp   的
“NoRealMode” 防止用户运行“cmd.exe”或者“command.exe”

五、病毒使用“My_Mir2_MapFile”作为共享数据区,把取得的信息写进去,供病毒主程序使用,发送到指定邮箱。
病毒发送邮件的内容如下:
gameid=
password=
quyu=
mirserver=
js1=
js1sex=
js1zy=
js1dj=
js2=
js2sex=
js2zy=
js2dj=


4.I-Worm.VB.r
破坏方法:VB编写的蠕虫病毒。伪装成屏幕保护程序,利用邮件传播。

一、复制自己为下列文件
    W32wgrd.exe 、GreenLand.scr

二、修改注册表。
   1。 禁止使用注册表编辑工具,防止用户清除病毒的设置。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
    \policies\system "disableregistrytools" : 0X00000001     
   2。自启动。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"W32wgrd" : %WINDOWS%\W32WGRD.EXE
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"AVScreen" : %SYSTEM%\GREENLAND.SCR
   3。通过屏幕保护程序启动
    HKCU\Control Panel\Desktop\SCRNSAVE.EXE =  "\GreenLand.scr"

三、释放“GreenMail.vbs”,使用该脚本利用“outlook”发送邮件,携带病毒“GreenLand.scr”。
病毒准备了四种邮件正文,都是说一个好的屏幕保护程序,例如:
"Bilieve it or not, this is a great Screen Saver, I like this one and 
I have you like too..."
"Percaya apa gak terserah kamu ?,Screen Saver ini sangat bagus dan 
pasti loe bakal suka"
所以,如果收到陌生人的邮件,附件中包含可执行程序或者屏幕保护程序,一定要提高警惕。


5.Trojan.PSW.Lineage.au
破坏方法:窃取游戏"天堂 II"的木马病毒
病毒采用VC编写。
病毒运行后有以下行为:

一、将自己复制到%SYSDIR%目录下,文件名为"d1lhost.exe"。

二、修改注册表以下键值,以达到其自启动的目的:
1.Software\Microsoft\Windows NT\CurrentVersion\Windows
修改数据项:"Load"   数据值为:"%SYSDIR%\D1LHOST.EXE"

三、创建名为"NOIRRunOnlyOne2"的互斥量,以确保只有一个病毒文件在运行。

四、枚举系统中进程,查找进程名为以下字符串的进程,并将它们结束:
"findhack.exe"
"RavTimer.exe"
"RavMonD.exe"
"pfw.exe"
"eghost.exe"
"mailmon.exe"
"kavpfw.exe"
"iparmor.exe"

五、查找"Lineage II"窗口,并挂接键盘和鼠标钩子,用于监视并记录用户对"Lineage II"窗口的操作从中窃取游戏"天堂II"的用户名及密码。将窃取的用户名、密码发送到指定的邮箱。


6.Worm.Mugly.a
破坏方法:一个蠕虫病毒。通过电子邮件传播,文件名为is_this_you.jpg.scr,伪装成图片,诱骗用户点击。
病毒运行后释放病毒Backdoor.Rbot.aju,这是一个IRC后门病毒,且有蠕虫特性,能主动传播。
驻留内存,在硬盘上查找文件,从中找出电子邮件地址,向地址发送邮件,附件为病毒本身。


7.Worm.Tetris.c
破坏方法:非法将自己复制到用户的可移动磁盘和软盘上。


8.Trojan.QQPSW.EasyGet.n
破坏方法:木马“好友号好好盗”,偷qq密码。


9.Trojan.PSW.Pasorot.u
破坏方法:窃取游戏"传奇"信息的木马病毒


10.Worm.Bropia.d
破坏方法:一个用vb编写的蠕虫病毒.


11.Backdoor.Rbot.aju
破坏方法:Rbot病毒变种。


12.Backdoor.CBot.a
破坏方法:IRC后门程序。


13.Backdoor.Rbot.ajs
破坏方法:IRC后门程序


14.Backdoor.Rbot.ajt
破坏方法:IRC后门程序


15.Backdoor.SDbot.api
破坏方法:IRC后门程序


16.Backdoor.Win32.Formador.d
破坏方法:后门病毒。


17.Worm.BBeagle.bs


18.TrojanDropper.Win32.Small.ew


19.Backdoor.Agobot.ht


20.HackTool.QQThief.a


21.HackTool.QQThief.b


22.Trojan.Win32.StartPage.mp


23.Trojan.PSW.LMir.abn


24.Exploit.MS05-002


25.Hack.FireATK


26.Backdoor.Sdbot.apj


27.Trojan.StartPage.hz


28.Backdoor.Robotbot.a


29.Worm.BBeagle.bm


30.TrojanDropper.Win32.Agent.f


31.TrojanClicker.Win32.Small.q


32.TrojanDropper.Win32.Pakes.a


33.TrojanDropper.Win32.Pakes.b


34.TrojanProxy.Win32.Mitglieder.m


35.TrojanProxy.Win32.Mitglieder.n


36.Backdoor.Rbot.ajq


37.Backdoor.Rbot.ajr


38.Backdoor.Wootbot.fb


39.TrojanProxy.Win32.Ranky.u


40.TrojanProxy.Win32.Ranky.v


41.TrojanSpy.Win32.Banker.dx


42.TrojanSpy.Win32.Banker.dy


43.TrojanSpy.Win32.Banker.dz


44.TrojanSpy.Win32.Banker.ad


45.Trojan.QQMSG.Boker.ck


46.TrojanSpy.Win32.Banker.dr


47.TrojanSpy.Win32.Banker.ds


48.TrojanSpy.Win32.Banker.du


49.TrojanSpy.Win32.Banker.dv


50.TrojanSpy.Win32.Banker.ea


51.TrojanSpy.Win32.Banker.eb


52.Trojan.PSW.Whboy.ai


53.Trojan.Startpage.hy


54.Backdoor.G_Door.f


55.Backdoor.Huigezi.bq


56.Email-Worm.Win32.Atak.i


57.Email-Worm.Win32.Yanz.b


58.I-Worm.Bagle.i


59.I-Worm.Bofra.b


60.I-Worm.Famus.c


61.I-Worm.Famus.e


62.I-Worm.Kergez.a


63.I-Worm.NetSky.o


64.I-Worm.NetSky.q


65.I-Worm.NetSky.x


66.I-Worm.Yanz.a


67.TrojanSpy.Win32.Banker.cp


68.TrojanSpy.Win32.Banker.cr


69.TrojanSpy.Win32.Banker.cs


70.TrojanSpy.Win32.Banker.ct


71.TrojanSpy.Win32.Banker.cv


72.TrojanSpy.Win32.Banker.cw


73.TrojanSpy.Win32.Banker.cx


74.TrojanSpy.Win32.Banker.da


75.TrojanSpy.Win32.Banker.dc


76.TrojanSpy.Win32.Banker.db


77.TrojanSpy.Win32.Banker.df


78.TrojanSpy.Win32.Banker.dg


79.TrojanSpy.Win32.Banker.di


80.TrojanSpy.Win32.Banker.cq


81.Trojan.PSW.LdPinch.gb


82.TrojanSpy.Win32.Banbra.a


83.TrojanSpy.Win32.Banbra.l


84.TrojanSpy.Win32.Banbra.m


85.TrojanSpy.Win32.Banbra.n


86.TrojanSpy.Win32.Banbra.o


87.TrojanSpy.Win32.Banbra.p


88.TrojanSpy.Win32.Banbra.q


89.TrojanSpy.Win32.Banbra.s


90.TrojanSpy.Win32.Banbra.t


91.TrojanSpy.Win32.Banbra.u


92.TrojanSpy.Win32.Bancos.ad


93.TrojanSpy.Win32.Banker.cl


94.TrojanSpy.Win32.Banker.ck


95.TrojanSpy.Win32.Delf.i


96.Trojan.Win32.VB.qn


97.Trojan.Win32.VB.qu


98.Backdoor.Win32.Delf.ts.Client


99.Backdoor.Win32.Delf.ts


100.Backdoor.Win32.Delf.uf


101.Backdoor.Win32.Delf.uk


102.Backdoor.Win32.Delf.ul


103.Worm.BBeagle.bl


脚本病毒(2)

104.Trojan.ASP.Aweige.a


105.Trojan.Downloader.JS.Small.ag


普通文件病毒(6)

106.I-Worm.NetSky.ab


107.Trojan.Java.ClassLoader.f


108.Trojan.Java.Startpage.o


109.Trojan.Java.ClassLoader.z


110.TrojanDownloader.Java.OpenConnection.V


111.Trojan.Java.ClassLoader.y

 

瑞星硬件防毒墙 瑞星硬件防火墙 瑞星杀毒软件网络版】【数据修复 IP地址查询 病毒上报
瑞星杀毒软件下载版 瑞星个人防火墙下载版 在线杀毒】【卡卡社区】【打印】 【关闭窗口
 相关文章
  • 瑞星升级报告:17.11.40 版新增 98个可查杀病毒
  • 瑞星升级报告:17.11.30 版新增519个可查杀病毒
  • 瑞星升级报告:17.11.20 版新增 80个可查杀病毒
  • 瑞星升级报告:17.11.10 版新增507个可查杀病毒



    		•
    信息安全 源自瑞星