17.12.10版新增111个可查杀病毒,主要包括: WINDOWS下的PE病毒(110);普通文件病毒(1);
WINDOWS下的PE病毒(110)
1.Worm.Myfip.b
破坏方法:通过局域网进行传播的蠕虫病毒
病毒采用VC编写,"ASPack v2.12"压缩。
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"KERNEL32DLL.EXE"。
二、创建名为"Meteo/EA[DCA]"的互斥量,以确保只有一个病毒文件在运行。
三、修改注册表以下键值以达到其自启动的目的:
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:"Distributed File System" 数据值为:"KERNEL32DLL.EXE"
四、访问"http://www.buaa.edu.cn"网站。
五、查找"EXPLORER.EXE"进程,并在该进程中创建远程线程用于守护病毒进程。
六、搜索局域网中的其他计算机,并尝试用系统管理员用户名以及密码登录这些计算机:
"Administrator"、"administrator"、
"admin"、"Admin"、"administrator123"、
"admin123456"、"administrator123456"、
"administratorpasswd"、"adminpasswd"、
"adminpwd"、"adminpasswd"、"password"、
"Password"、"1234"、"12345"、"123456"、"1234567"、
"12345678"、"123456789"、"87654321"、"7654321"、
"654321"、"54321"、"000000"、"passwd"、"Passwd"、
"00000000"、"0007"、"007007"、"0246"、"0249"、"#$%^"、
"!@#$%^&"、"!@#$%^&*"、"root"、"daemon "、"bin "、
"sys "、"adm "、"nobody "、"noaccess"、"freedom"、"1a2b3c"、
"1p2o3i"、"1q2w3e"、"1qw23e"、"1sanjose"、"2004"、"2222"、"4444"、
"love"、"4runner"、"7777"、"888888"、"99999999"、"#$%^&"、"a12345"、"a1b2c3"、"a1b2c3d4"、"aaaaaa"、
"abby"、"abc123"、"abcd"、"abcd1234"、"abcde"、"abcdef"、
"abcdefg"、"access"、"action"、"active"、"adam"、"mypc"、
"mypc123"、"admin123"、"pw123"、"mypass"、"mypass123"、"asdf"、
"asdfg"、"asdfgh"、"asdfghjk"、"asdfjkl"、"asdfjkl;"、"hacker"、
"zxcvb"、"zxcvbnm"、"xxxx"、"test"、"test1"
……
如果登录成功,病毒将会把自己复制到该计算机的%SYSDIR%目录下,文件名为"Dfsvc.exe"。
2.Worm.Sober.i
破坏方法:Visual Basic写的蠕虫病毒,通过邮件传播
一旦感染该病毒,将执行下列操作:
复制自己到系统目录下:
%SYSDIR%\filename.exe 此处的“filename”是随机的
向注册表的自启动项添加键值以使自己能够随系统自动运行,相关键值为(随机):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"随机键值" = "%SYSDIR%\filename.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"随机键值" = "%SYSDIR%\filename.exe"
该随机键值可能为:
asysdatadiag、sysservice。。。等比较有迷惑性的值
病毒搜索后缀名为下列的文件来获得要传播的邮件地址:
pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms
nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw
mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls
ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls
nsf txt wab eml hlp mht nfo php asp shtml dbx
它通过邮件传播时邮件可能带有下列信息:
I've got YOUR email on my account!!
Hello,
First, Sorry for my very bad English!
Someone send your private mails on my email account!
Date:
I think it's an Mail-Provider or SMTP error.
Normally, I delete such emails immediately, but in the mail-text is a name & adress. I think it's your name and adress.
The sender of this mails is in the text file, too.
bye
In the last 8 days i've got 7 mails in my mail-box, but the recipient are you, not me. lol
OK, I've copied all email text in the Windows Text-Editor and i've zipped the text file with WinZip.等等
附件名为:
Texte.zip
建议用户对这种来历不明的邮件不要轻易打开。
3.Trojan.QQMSG.Boker.cu
破坏方法:qq尾巴病毒,采用VB编写。是Trojan.QQMsg.Boker家族的新变种。采用RM视频图标,诱惑用户点击。
将自己拷贝到%WINDIR%\system和%WINDIR%\system32目录下,文件名分别为taskmgr.exe和N0TEPAD.EXE。用户若从任务管理其中看则很难分辨出哪个是病毒。
写以下注册表启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
taskmgr : %WinDir%\system\taskmgr.exe
这样,每次开机病毒都能启动。
病毒还会修改txt文件的关联方式,使用户每次打开txt文本文件都能激活病毒。
初次运行会调用IE,连接网站***www.18hi.com,这是一个病毒网站,利用IE漏洞传播病毒。连接上以后自动下载病毒到本地并运行。
在%WinDir%\system生成一个Windll.dll文件,文件内容为字符串“AllJapanesArePigs”,体现出病毒作者的反日情绪。
驻留内存,每隔0.2秒获得当前活动窗体的标题,搜索“发送消息”这样的窗体,搜索成功后后获得相应的文本框,向其中添加尾巴信息,诱惑用户连接网站***www.18hi.com,增加网站点击率,也使病毒能够传播。
4.Trojan.VB.HDKiller.10
破坏方法:该病毒将破坏从C:-Z:所有可能存在的硬盘的前面0x6400H的数据,导致用户的数据被破坏
5.Hacktool.TrojGen.Boler.a
破坏方法:黑客工具,用来帮助木马躲过杀毒软件查杀。
6.TrojanSpy.Lineage.Lyb.a
破坏方法:这是一个盗取游戏“天堂”信息的木马
7.Trojan.PSW.LMir.abo
破坏方法:偷传奇帐号密码的木马。
8.Backdoor.Bot.Client.a
破坏方法:后门病毒客户端。
9.Backdoor.Win32.Delf.vk
破坏方法:Delphi写的后门。
10.Trojan.QQPSW.EasyGet.o
破坏方法:木马,偷qq密码。
11.Binder.Firefox.a
破坏方法:Exe捆绑机。
12.Backdoor.mIRC.k
13.Backdoor.Sdbot.apk
14.TrojanSpy.Win32.Banker.an
15.TrojanSpy.Win32.Banker.ef
16.TrojanSpy.Win32.Banker.ei
17.Backdoor.VidcServer
18.TrojanDownloader.Totavel.a
19.TrojanClicker.Win32.Small.bw
20.Trojan.PSW.Nut.32
21.TrojanDownloader.Lyb.b
22.Backdoor.Rbot.ake
23.Trojan.QQMSG.Boker.cs
24.Trojan.QQMSG.Boker.ct
25.Backdoor.Sdbot.apl
26.Backdoor.Sdbot.apm
27.Trojan.PSW.LMir.abp
28.TrojanDownloader.Lyb.a
29.TrojanSpy.Win32.Banker.ej
30.Trojan.Proxy.Ranky.gen
31.TrojanDownloader.VB.h
32.Trojan.Win32.StartPage.pf
33.Trojan.PSW.Lineage.av
34.Trojan.PSW.Dragon.h
35.Backdoor.Huigezi.bw
36.TrojanDropper.Win32.Small.qv
37.Trojan.Win32.DNSChanger.a
38.TrojanDropper.Win32.Mudrop.o
39.Backdoor.Wootbot.fd
40.Backdoor.Huigezi.br
41.Trojan.Win32.Startpage.lu
42.TrojanDownloader.Win32.Dyfuca.du
43.Backdoor.Wisdoor.ae
44.Backdoor.Wisdoor.af
45.Backdoor.Wisdoor.ag
46.Backdoor.Win32.XRat.a
47.Backdoor.Win32.XRat.b
48.TrojanDropper.IeCust.a
49.Backdoor.Agobot.hx
50.Trojan.Proxy.Agent.cw
51.Backdoor.Rbot.ajy
52.Trojan.PSW.Lmir.yy
53.HackTool.Win32.Hidd.c
54.TrojanSpy.Win32.Lineage.c
55.TrojanDropper.Small.qk
56.TrojanDropper.Win32.Agent.ed
57.Backdoor.Rbot.ajz
58.Backdoor.Huigezi.bu
59.Backdoor.Rbot.aka
60.TrojanClicker.Agent.bn
61.Backdoor.Huigezi.bv
62.Trojan.DarkHole.2004.h
63.Backdoor.Rbot.akb
64.Backdoor.Rbot.akc
65.Backdoor.Huigezi.bs
66.TrojanDownloader.Small.tz
67.Backdoor.Huigezi.bt
68.Trojan.Proxy.Ranky.cz
69.Backdoor.Agobot.hy
70.Backdoor.Rbot.akd
71.Trojan.AIM.Pornbl
72.Trojan.AIM.Crack
73.Trojan.AIM.Lost
74.Trojan.Afksys
75.Backdoor.Rbot.ajv
76.Backdoor.Rbot.ajw
77.Backdoor.Agobot.hu
78.Hacktool.TrojGen.Modif
79.Backdoor.Agobot.hv
80.Backdoor.Wootbot.fc
81.TrojanSpy.Win32.Banker.ec
82.TrojanSpy.Win32.Banker.ed
83.TrojanSpy.Win32.Banker.ee
84.Constructor.Exploit.ZomShc.a
85.Constructor.Win32.Hulusha.a
86.Constructor.Win32.VB.w
87.Constructor.Win32.VB.x
88.Constructor.Win32.VB.y
89.Constructor.Win32.Worgen.a
90.DDoS.Win32.UdoDos.a
91.DDoS.Win32.Halfos.a
92.HackTool.Win32.AddUser.a
93.HackTool.Win32.Bfcboom.a
94.HackTool.Win32.Delf.y
95.HackTool.Win32.Hidd.b
96.HackTool.Win32.HotmailHack.e
97.HackTool.Win32.HotmailHack.f
98.HackTool.Win32.VB.ce
99.HackTool.Win32.VB.ci
100.HackTool.Win32.VB.cj
101.TrojanDownloader.Win32.Delf.cj
102.TrojanDownloader.Win32.Delf.cm
103.TrojanDownloader.Win32.Delf.dh
104.TrojanDownloader.Win32.Delf.di
105.TrojanDownloader.Win32.Delf.dj
106.TrojanDownloader.Win32.Delf.ei
107.TrojanDownloader.Win32.Delf.dm
108.TrojanDownloader.Win32.Delf.do
109.TrojanProxy.Win32.Agent.bf
110.TrojanProxy.Win32.Agent.be
普通文件病毒(1)
111.Backdoor.Rbot.ajx