12月第2周计算机病毒预报
来源:中国上海 更新时间:2012-04-13

  病毒名称:“仇恨脚本”(VBS.Rol.a.11804)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 搜索系统中htm、htm、asp文件
    2. 修改注册表中的IE首页相关信息
    3. 连接指定的网站,下载病毒
    4. 删除文件,强行关闭系统
    感染形式:
    这是一个脚本病毒,它可通过邮件传播。该病毒运行后会感染htm、htm、asp文件、删除磁盘中几乎全部的文件,并强行关闭系统。在关闭系统前,它还会弹出一个含有种族敌视内容的对话框。
    病毒进入电脑系统后,会立即对系统盘进行搜索,寻找Zone Labs、AntiViral Toolkit Pro、Command Software、PC-Cillin、Quick Heal(快速愈合)、麦咖啡、诺顿等国外主流安全软件,发现之后将它们迅速删除。这样一来,它便能在系统中肆意地进行破坏。接着,病毒搜索系统中所有的htm、html、asp格式文件,将自己的病毒信息插入其中欧,同时它还修改注册表中的IE首页相关信息,将IE浏览器的默认首页设定为http://www.o**t.edu/g***ps/**a/ev***nder.swf。这样一来,用户使用网络服务时,就会被引导到病毒作者指定的网站。此病毒对系统的最大的危害,在于它会删除%windows%\System32\目录下的全部文件,并对所有磁盘分区中的多种非系统文件进行“移形换影”。当它检测到扩展名为lnk、zip、jpg、peg、mpg、mpeg、doc、xls、mdb、txt、ppt、pp、ram、rm、mp3、mdb、swf等的文件后,就会用“原文件名+.vbs”的病毒文件替换掉原文件。当目标文件删除完毕,病毒就会弹出一个含有敌视犹太人内容的对话框,然后强行关闭系统。除在本机上进行破坏外,病毒还会搜索受害电脑上的邮件地址,向这些地址发送含有病毒链接的邮件,借以扩散自己的影响范围。
    预防和清除:
    安装专业的杀毒软件进行全面监控。建议用户立即针对自己计算机安装的操作系统,找到相应的安全漏洞补丁,下载并安装。以遏制利用这些漏洞进行传播的病毒,减少病毒给计算机用户带来的危害。

    病毒名称: “ARP下载者102400”(Win32.Troj.Downloader.yl.102400)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 释放出病毒文件
    2. 在根目录下生成病毒副本
    3. 修改注册表,禁用显示隐藏文件选项
    4. 对整个局域网内的所有 IP 进行攻击
    感染形式:
    病毒进入系统后,会释放出5个病毒文件,分别为%WINDOWS%\system32\Com\目录下的SMSS.EXE、netcfg.dll、netcfg.000,以及%\WINDOWS%\system32\drivers\目录下的alg.exe目录下,还有释放出%\WINDOWS%\system32\下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件,如果用户双击进入受感染磁盘,病毒就会被再次激活。此后,只要用户在此台电脑上使用U盘等移动存储器器,病毒就会立刻传染上去。病毒还将自己拷贝到%WINDOWS%\system32\Com\目录下,更名为 LSASS.EXE,并释放并运行病毒文件SMSS.EXE 和 ALG.EXE ,由于病毒的进程名和系统的 LSASS、SMSS 进程名相同,任务管理器将无法结束它。该病毒会修改注册表,禁用显示隐藏文件选项,使隐藏文件无法被显示,并破坏系统安全模式的相关数据,使用户无法启动安全模式。它还会不断修改注册表,这会使得部分安全工具无法成功修复安全模式。该病毒具有映象劫持功能,可以破坏许多常用安全工具和调试分析软件的正常运行,如果它发现无法解决安全软件,就会将电脑强制关机。最后该病毒悄悄建立远程连接,从http://w.c**o.com/*.htmhttp://j*.k***2.com/g*.asp下载恶意脚本执行。此外,之前生成的alg.exe 是个ARP 病毒,它会利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行攻击,给网络中的所有用户造成影响。
    预防和清除:
    建立良好的安全习惯,并在适当时候进行全网查杀病毒,保证企业信息安全。建议您全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。

    病毒名称:“破天一剑终结者变种CN” (Trojan.PSW.Win32.NSword.cn)
    危害程度:中低
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害:
    1. 在系统目录下建立病毒文件
    2. 注入到系统正常进程
    3. 禁用防火墙、禁用系统自动更新
    4. 盗取游戏的账号和密码
    5. 发送到黑客指定的网站上
    感染形式:
    这是一个木马病毒。病毒运行后会在系统目录下建立文件名为:kapjeaz.exe、kapjezy.dll的病毒文件。病毒将自身注入到系统正常进程Explorer.exe中,并禁用防火墙、禁用系统自动更新,给用户的网络安全带来隐患。病毒可以检测游戏《破天一剑》是否在运行,通过挂钩子的方式盗取游戏的账号和密码,并发送到黑客指定的网站上。
    预防和清除:
    建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。