老师含精肉臀迎合娇吟动漫_中國出現“愛(ài)之門(mén)” 和“貝革熱”電腦病毒新變種

站內檢索

頻道:	首頁(yè) \| 新聞 \| 國際 \| 財經(jīng) \| 體育 \| 文娛 \| 臺灣 \| 華人 \| 科教 \| 圖片 \|圖片庫
	時(shí) 尚 \| 汽車(chē) \| 房產(chǎn) \| 視頻 \|精品商城\|供稿\|產(chǎn)經(jīng)資訊 \|專(zhuān) 稿\| 出版\|廣告服務(wù) \|心路網(wǎng)

本頁(yè)位置：首頁(yè) → 新聞中心 → 科教新聞

放大字體? 縮小字體?

中國出現“愛(ài)之門(mén)” 和“貝革熱”電腦病毒新變種

2004年07月11日 17:18

　　國家計算機病毒應急處理中心經(jīng)過(guò)監測發(fā)現，我國近期又出現了“愛(ài)之門(mén)”和“貝革熱”病毒的新變種，提醒廣大計算機用戶(hù)注意防范。

　　“愛(ài)之門(mén)”病毒的新變種運行后常駐內存，并在windows文件夾、系統文件夾和C盤(pán)根目錄下生成多個(gè)自身拷貝。同時(shí)對注冊表進(jìn)行多處改動(dòng)，修改.txt(文本文件)的關(guān)聯(lián)，使得用戶(hù)在運行.txt的時(shí)候，實(shí)際上是在運行病毒。病毒可通過(guò)電子郵件進(jìn)行傳播，有可能以回復正常郵件的形式到達，病毒還有可能將發(fā)信人的地址偽裝成hotmail、MSN、YAHOO、AOL等大公司的郵件地址。另外病毒可通過(guò)網(wǎng)絡(luò )共享進(jìn)行傳播。

　　“貝革熱”病毒在沉寂數日后，也出現了新的變種，提醒用戶(hù)對電子郵件的處理一定要謹慎，不確定的附件應先對其進(jìn)行檢測，確定無(wú)毒后方可運行，同時(shí)要及時(shí)的升級殺毒軟件，并啟動(dòng)“實(shí)時(shí)監控”和“郵件監控”功能。

　　病毒名稱(chēng)：“愛(ài)之門(mén)”病毒變種(Worm_Lovgate.AD) 病毒種類(lèi)：蠕蟲(chóng)

　　感染系統：Windows95/98/Me/NT/2000/XP 病毒特性：

　　1、生成病毒文件

　　病毒會(huì )將大量可執行文件替換成病毒副本文件，并將原文件變?yōu)殡[含屬性且后綴名被改變。同時(shí)病毒會(huì )在被感染系統中生成多個(gè)自身拷貝和病毒文件。在%Windows%文件夾下生成：SVCHOST.EXE和SYSTRA.EXE。在ystem%文件夾下生成：HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盤(pán)根目錄下生成：AUTORUN.INF和COMMAND.EXE。

　　2、修改注冊表

　　病毒在注冊表中添加以下項目，使得自身能夠作為服務(wù)運行：在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加SystemTra ="C:WindowsSysTra.EXE"COM++ System = "svchost.exe"

　　病毒在注冊表中添加以下項目，使得自身能夠隨系統啟動(dòng)而自動(dòng)運行，在HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows下添加run = "RAVMOND.exe" WinHelp = "C:WindowsSystem32TkBellExe.exe" Hardware Profile = "C:WindowsSystem32hxdef.exe" VFW Encoder/Decoder Settings ="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" MicrosoftNetMeeting Associates, Inc. = "NetMeeting.exe"Program In Windows = "C:WindowsSystem32IEXPLORE.EXE" Shell Extension = "C:WindowsSystem32spollsv.exe" Protected Storage = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"

　　病毒修改以下注冊表項目，這樣一來(lái)，用戶(hù)在運行.txt文本文件的時(shí)候，實(shí)際上就是在運行病毒拷貝：HKEY_CLASSES_ROOT xtfileshellopenmmand default ="Update_OB.exe %1"(原始數值為%SystemRootystem32NOTEPAD.EXE %1)HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopenmmand default = "Update_OB.exe %1"(原始數值為%SystemRootystem32NOTEPAD.EXE %1)

　　3、修改文件

　　病毒修改文件AUTORUN.INF[AUTORUN]Open="c:COMMAND.EXE"/StartExplorer

　　4、通過(guò)電子郵件進(jìn)行傳播

　　(1)病毒搜索系統郵箱，回復找到的電子郵件，并將病毒作為附件進(jìn)行傳播。

　　標題：Re: <郵件原始主題>

　　附件：存在多種形式，擴展名為.exe、.pif、.scrsong.MP3.pif

　　(2)病毒從下列擴展名的文件中搜索郵件地址：ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB，并向這些地址發(fā)送帶毒的電子郵件。

　　病毒郵件特征如下：

　　發(fā)件人：

　　%病毒體內選取的特定字符%.aol.com

　　%病毒體內選取的特定字符

　　%病毒體內選取的特定字符%.msn.com

　　%病毒體內選取的特定字符%.yahoo.com

　　標題：<為下列之一> hi hello Mail Delivery System Mail Transaction Failed

　　內容：<可變>

　　附件：

　　文件名為body、data、doc、document、file、message、readme、test、text或zge，擴展名為BAT、EXE、PIF、SCR或ZIP。病毒會(huì )避免向含有特定字符串的郵件地址發(fā)送帶毒的電子郵件，這些字符串多與反病毒以及計算機安全相關(guān)。

　　5、通過(guò)網(wǎng)絡(luò )傳播

　　病毒會(huì )在Windows文件夾下創(chuàng )建一個(gè)名為"Media"的共享文件夾，并在其中生成自身的拷貝。病毒還會(huì )掃描本地網(wǎng)絡(luò )的計算機，嘗試通過(guò)密碼探測進(jìn)入"Admin 共享進(jìn)行傳播，一旦登錄成功，病毒會(huì )在遠程計算機的"AdminSystem32"文件夾中生成自身拷貝，名稱(chēng)為"NETMANAGER.EXE"。(記者張建新)

　　來(lái)源：新華網(wǎng)

編輯:陶光雄