17.36.42版新增27个可查杀病毒，主要包括： WINDOWS下的PE病毒(19)；宏病毒(1)；脚本病毒(3)；普通文件病毒(4)；

WINDOWS下的PE病毒(19)

1.Worm.Mail.Vagan
破坏方法：该病毒是一个通过邮件传播的蠕虫病毒

 病毒利用微软漏洞：MS03-050
 详见


[https://www.microsoft.com/technet/security/bulletin/MS03-050.mspx]
 该漏洞导致 Microsoft Word and Microsoft Excel 能够运行恶意代码

 此病毒是一个WORD 文档，执行该文档后病毒将释放的一个可执行程序VAGANZA.exe，
 该文件采用Visual Basic 编写，运行后将进行如下操作：

 1.自我复制到系统的一些目录下：
 文件名一般为：%本机用户名%.exe 或 ntsvc.exe 等

 2.添加注册表自启动键值：

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 "Vaganza-XPloit-%本机用户名%" = "%WINDIR%\java\%本机用户名%.exe"
 
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 "Local-Settings-of-%本机用户名%" = "%UserProfile%\%本机用户名%Local Settings\Application  Data\%本机用户名%.exe"

 注意：%本机用户名% 指的是当前登录的用户名

 病毒也将修改IE的默认主页：
 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page 
 "www.indonesia.go.id/?Vaganza=Dirgahayu-Indonesia-17-Agustus-MERDEKA!!!"

 3.病毒会自动下载更新，下载地址为：
 http://***deka.t35.com/MasterVaganza.doc

 4.修改 C:\autoexec.bat，添加字符串：pause

 5.结束带有下列字眼的进程:
 NORTON 
 AVG 
 CILLIN 
 PANDA 
 NAV 
 MCAF 
 SCAN 
 VIRUS 
 PERSKY 
 VAKSIN 
 REGISTRY 
 TASK 
 JAVA 
 CONFIGURATION 
 COMMAND 
 CMD 
 CONTROL 
 SEARCH 
 BAT 
 INI 
 SYS
 
 6.病毒从windows Address Book 和 OutLook 以及下列注册表键值中得到Email地址：

 HKEY_CURRENT_USER\Software\Microsoft\internet Account Manager
\Default Mail Account
HKEY_CURRENT_USER\Software\Microsoft\internet Account Manager
\Accounts\随机名称\SMTP Email Address

 病毒将得到的Email地址通过Web上传到：http://***deka.t35.com/VagMail.php
 这样病毒作者通过向这些邮件地址发送带毒的邮件就可达到传播的目的

 7.病毒也可通过网络共享传播
 
 8.导致系统频繁重启


2.Win32.TuFei.b
破坏方法：该病毒是一个感染可执行程序的感染型病毒
 一旦被感染，病毒将建立多个线程进行破坏活动
 病毒首先创建一个远程线程，关闭WINDOWS的文件保护机制，该机制使得在当系统文件遭修改时系统自动恢复该文件，关闭后病毒可以任意修改系统文件

 然后病毒感染资源管理器,该程序是系统最重要的文件之一，每次系统引导到WINDOWS下后都会执行，这就使病毒获得运行机会，病毒并不感染C：D：E：这几个驱动器的下文件，感染排除这几个驱动器以外除CDROM的所有驱动器<如 U 盘 等，现在使用 U 盘的人越来越多，这使得病毒能够大量传播>。

 病毒随后建立多个线程：
 后门线程   
 感染线程                    -〉该线程每隔15秒遍历各驱动器，试图感染后缀为“.exe”的文件
 点击网页、键盘记录线程      -〉病毒每隔 3 分钟就点击网页，同时记录用户的所有键盘操作，保存在文件 “AdvKey.dll” ，这个文件在系统目录下<默认为C:\Windows\System32或C:\Winnt\System32>

 由于该病毒本身的问题，会造成部分文件感染后变小，破坏了该文件，这是无法恢复的，这部分文件一般是安装文件或其它，因为这类文件一般来说会将资源附加到文件尾部；
 在通常情况下当插入 U 盘或其它活动磁盘时病毒都会导致资源管理器异常，这是病毒本身的问题。

 为彻底清除该病毒，请在打开文件监控的情况下进行全盘杀毒，并请务必重新启动系统，因为病毒关闭，系统的文件保护机制后无法在运行时恢复。


3.Trojan.Clicker.Gamble.b
破坏方法：这是一个劫持IE的木马病毒，用来为国内某些赌博活动进行宣传，比如香港的六合彩等；
  感染该病毒后的现象是当用户输入常用的网址会自动连接到如http://www.***88.com等的网址，
  该网址会是随机的，是病毒读取网络上的一个配置文件后随机产生，该文件下载地址为：
  http://www.***888.com/file/ad.txt 
  请在打开文件监控的情况下查杀该病毒


4.Backdoor.Agobot.bck


5.Trojan.DL.Delf.r


6.Trojan.DL.NetFish


7.Trojan.DL.Cartao


8.Trojan.DL.Delf.bm


9.Trojan.DL.Delf.bo


10.Trojan.DL.Delf.bp


11.Trojan.DL.Cartao.a


12.Win32.Lom


13.Win32.Tenga


14.Win32.Golsys.14292


15.Win32.HLLP.Hetis


16.Win32.HLLO.Kevinz


17.Backdoor.GPigeon.shc


18.Trojan.DL.Swizzor.b


19.Win32.Ruff.4864


宏病毒(1)

20.Worm.Mail.Vagan


脚本病毒(3)

21.Exploit.HTML.Mht.ay


22.Exploit.HTML.Mht.az


23.Script.Zxylove.a


普通文件病毒(4)

24.Script.Top


25.Worm.Lespaul


26.Worm.Sober.v


27.Backdoor.NRdoor.35