病毒名称:“感染蠕虫下载器”(Worm.AutoRun.dj.995328)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 在系统盘下释放病毒文件
2. 搜索exe格式文件
3. 注入被感染代码和自身病毒体并感染
4. 下载大量其它病毒
感染形式:
这是蠕虫病毒,和它的同类相比,基本原理相近,都是利用感染正常文件的方式实现传播。它本身对系统不具备破坏能力,真正危害在于,该病毒在进入系统后,会连接病毒作者指定的地址,下载更多的病毒文件。病毒随着被感染的文件进入用户系统,它在系统盘的创建目录%windows%目录下创造出一个“Tasks”目录,然后将病毒文件0x01xx8p.exe、spoolsv.ext、SysFile.brk释放到其中,同时在%WINDOWS%目录中生成病毒文件spoolsv.exe。完成这一步骤,病毒就删除自己的原始文件,让用户难以发现它的痕迹。接下来,病毒搜索exe格式文件,将要感染的病毒代码赋值到缓存,把被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。这样,它就能随着该文件的复制实现传播。最后,病毒读取之前释放出的下载列表spoolsv.ext,在用户无法察觉的情况下连接远程服务器http://2**p.cn/,下载大量其它病毒和最新的配置文件,从而实现真正的破坏。
预防和清除:
最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。
病毒名称:“AUTO分身下载器”(Worm.Delf.az.70144)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 修改注册表启动项实现开机自启动
2. 修改系统时间
3. 连接指定的服务器下载其它病毒文件
感染形式:
这个病毒是一个下载器,由于使用了AUTO技术,它的传播能力较高。该毒进入系统后,立刻在系统盘%WINDOWS%\System32\目录下释放出病毒文件Extensionsk.exe,并将该文件复制到所有的磁盘分区根目录下,同时生成的还有指向该文件的autorun.inf文件。只要有了这两个文件,该病毒也就具备了AUTO传播的能力。如果用户在中毒电脑上使用U盘等移动存储设备,病毒就能自动复制到该设备中。接下来,病毒会修改系统注册表,将Extensionsk.exe设置为启动项,实现开机自动运行。只要实现这一步,病毒会马上把系统时间改为2005-10-31,让依赖系统时间进行激活和升级的安全软件瘫痪,并添加映像劫持项目,劫持目前较为常见品牌的杀毒软件,让它们失效。如果用户试图启动这些杀毒软件,只会不断激活病毒。然后,病毒试图连接病毒作者指定的远程服务器http://www.h***ui.org/UpFile/UpFace,下载其它病毒文件到用户电脑中运行。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称:“对抗型广告木马”(Win32.Troj.Agent.ll.397312)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
病毒危害:
1. 搜寻IE浏览器的模块,注入其中
2. 修改系统注册表选项,设置为随IE浏览器一同启动
3. 通过网页挂马、捆绑文件、以及下载器下载等方式进行传播
4. 造成电脑丧失防御能力
感染形式:
这个病毒是一个广告木马,如果能顺利运行起来,就会弹出大量广告页面,骗取用户点击或刷流量。这一做法和大多数广告木马无异,但它给用户带来的真正麻烦是会关闭一些安全软件的进程,造成电脑丧失防御能力,从而给其它病毒的入侵提供机会。该病毒可通过网页挂马、捆绑文件、以及下载器下载等方式进行传播。它进入用户电脑后,会立刻修改系统时间为1987年,造成卡巴斯基等依赖系统时间进行激活和升级的安全软件瘫痪。并紧接着搜索系统中正在运行的进程,在此过程中,如过安全软件试图弹出询问提示框,病毒就会抢在窗口显示出来之前,模拟用户操作的信号点击允许选项。接下来,病毒就搜寻IE浏览器的模块,注入其中,并修改系统注册表选项,将自己设置为可随着IE浏览器一同启动。这样,当用户使用IE浏览器时,病毒就能随机弹出病毒作者指定的广告窗口,造成用户误点击,达到为这些广告网站“贡献”网络数据流量之目的。在这个过程中,如果用户安装有“雅虎助手”等IE辅助工具,病毒会阻止这些工具向用户报告IE异常,以便长久地在系统中呆下去。此外,该毒具有自我更新的能力,如果它进入用户系统时,发现系统中有自己以前的版本,就会进行自动更新,并于运行结束后删除自己的原始文件。病毒每次更新的病毒文件共有四个,分别是%WINDOWS%\system32\目录下的ccwlae_080419.exe、ccwld32_080419.dll、ccwld16_080419.dll,以及%Common Startup%目录下的msword.lnk。
预防和清除:
养成良好的上网习惯比如不要随便接收别人发给的文件。建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。