中國出現(xiàn)“愛之門” 和“貝革熱”電腦病毒新變種

站內(nèi)檢索

頻道:	首頁 \| 新聞 \| 國際 \| 財經(jīng) \| 體育 \| 文娛 \| 臺灣 \| 華人 \| 科教 \| 圖片 \|圖片庫
	時尚 \| 汽車 \| 房產(chǎn) \| 視頻 \|精品商城\|供稿\|產(chǎn)經(jīng)資訊 \|專稿\| 出版\|廣告服務(wù) \|心路網(wǎng)

本頁位置：首頁 → 新聞中心 → 科教新聞

放大字體? 縮小字體?

中國出現(xiàn)“愛之門” 和“貝革熱”電腦病毒新變種

2004年07月11日 17:18

　　國家計算機(jī)病毒應(yīng)急處理中心經(jīng)過監(jiān)測發(fā)現(xiàn)，我國近期又出現(xiàn)了“愛之門”和“貝革熱”病毒的新變種，提醒廣大計算機(jī)用戶注意防范。

　　“愛之門”病毒的新變種運(yùn)行后常駐內(nèi)存，并在windows文件夾、系統(tǒng)文件夾和C盤根目錄下生成多個自身拷貝。同時對注冊表進(jìn)行多處改動，修改.txt(文本文件)的關(guān)聯(lián)，使得用戶在運(yùn)行.txt的時候，實(shí)際上是在運(yùn)行病毒。病毒可通過電子郵件進(jìn)行傳播，有可能以回復(fù)正常郵件的形式到達(dá)，病毒還有可能將發(fā)信人的地址偽裝成hotmail、MSN、YAHOO、AOL等大公司的郵件地址。另外病毒可通過網(wǎng)絡(luò)共享進(jìn)行傳播。

　　“貝革熱”病毒在沉寂數(shù)日后，也出現(xiàn)了新的變種，提醒用戶對電子郵件的處理一定要謹(jǐn)慎，不確定的附件應(yīng)先對其進(jìn)行檢測，確定無毒后方可運(yùn)行，同時要及時的升級殺毒軟件，并啟動“實(shí)時監(jiān)控”和“郵件監(jiān)控”功能。

　　病毒名稱：“愛之門”病毒變種(Worm_Lovgate.AD) 病毒種類：蠕蟲

　　感染系統(tǒng)：Windows95/98/Me/NT/2000/XP 病毒特性：

　　1、生成病毒文件

　　病毒會將大量可執(zhí)行文件替換成病毒副本文件，并將原文件變?yōu)殡[含屬性且后綴名被改變。同時病毒會在被感染系統(tǒng)中生成多個自身拷貝和病毒文件。在%Windows%文件夾下生成：SVCHOST.EXE和SYSTRA.EXE。在ystem%文件夾下生成：HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盤根目錄下生成：AUTORUN.INF和COMMAND.EXE。

　　2、修改注冊表

　　病毒在注冊表中添加以下項(xiàng)目，使得自身能夠作為服務(wù)運(yùn)行：在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加SystemTra ="C:WindowsSysTra.EXE"COM++ System = "svchost.exe"

　　病毒在注冊表中添加以下項(xiàng)目，使得自身能夠隨系統(tǒng)啟動而自動運(yùn)行，在HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows下添加run = "RAVMOND.exe" WinHelp = "C:WindowsSystem32TkBellExe.exe" Hardware Profile = "C:WindowsSystem32hxdef.exe" VFW Encoder/Decoder Settings ="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" MicrosoftNetMeeting Associates, Inc. = "NetMeeting.exe"Program In Windows = "C:WindowsSystem32IEXPLORE.EXE" Shell Extension = "C:WindowsSystem32spollsv.exe" Protected Storage = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"

　　病毒修改以下注冊表項(xiàng)目，這樣一來，用戶在運(yùn)行.txt文本文件的時候，實(shí)際上就是在運(yùn)行病毒拷貝：HKEY_CLASSES_ROOT xtfileshellopenmmand default ="Update_OB.exe %1"(原始數(shù)值為%SystemRootystem32NOTEPAD.EXE %1)HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopenmmand default = "Update_OB.exe %1"(原始數(shù)值為%SystemRootystem32NOTEPAD.EXE %1)

　　3、修改文件

　　病毒修改文件AUTORUN.INF[AUTORUN]Open="c:COMMAND.EXE"/StartExplorer

　　4、通過電子郵件進(jìn)行傳播

　　(1)病毒搜索系統(tǒng)郵箱，回復(fù)找到的電子郵件，并將病毒作為附件進(jìn)行傳播。

　　標(biāo)題：Re: <郵件原始主題>

　　附件：存在多種形式，擴(kuò)展名為.exe、.pif、.scrsong.MP3.pif

　　(2)病毒從下列擴(kuò)展名的文件中搜索郵件地址：ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB，并向這些地址發(fā)送帶毒的電子郵件。

　　病毒郵件特征如下：

　　發(fā)件人：

　　%病毒體內(nèi)選取的特定字符%.aol.com

　　%病毒體內(nèi)選取的特定字符

　　%病毒體內(nèi)選取的特定字符%.msn.com

　　%病毒體內(nèi)選取的特定字符%.yahoo.com

　　標(biāo)題：<為下列之一> hi hello Mail Delivery System Mail Transaction Failed

　　內(nèi)容：<可變>

　　附件：

　　文件名為body、data、doc、document、file、message、readme、test、text或zge，擴(kuò)展名為BAT、EXE、PIF、SCR或ZIP。病毒會避免向含有特定字符串的郵件地址發(fā)送帶毒的電子郵件，這些字符串多與反病毒以及計算機(jī)安全相關(guān)。

　　5、通過網(wǎng)絡(luò)傳播

　　病毒會在Windows文件夾下創(chuàng)建一個名為"Media"的共享文件夾，并在其中生成自身的拷貝。病毒還會掃描本地網(wǎng)絡(luò)的計算機(jī)，嘗試通過密碼探測進(jìn)入"Admin 共享進(jìn)行傳播，一旦登錄成功，病毒會在遠(yuǎn)程計算機(jī)的"AdminSystem32"文件夾中生成自身拷貝，名稱為"NETMANAGER.EXE"。(記者張建新)

　　來源：新華網(wǎng)

編輯:陶光雄