Virus 版 (精华区)

发信人: zyw (秋风), 信区: Virus
标  题: 金山反病毒气象(2003年9月22日至9月28日)<1>
发信站: 哈工大紫丁香 (2003年09月19日08:53:17 星期五), 站内信件

:金山反病毒气象(2003年9月22日至9月28日)<1>
 
http://www.duba.net  (2003-09-18 16:44)  文章来源:金山毒霸安全资讯网 

  《接上篇》

  注册表键值。最后,再次提醒,一定要打上IE的IFRAME漏洞补丁,既可免除此类
病毒的危害,特别是对新装机的用户们。

  蠕虫病毒:“偷窥者”新变种(Worm.Randex.g) ★★★ 传播方式:网络共享
方式传播
   该蠕虫病毒破解远端系统管理员帐号的弱密码,然后开启被攻击系统的网络共
享,通过以下方式拷贝自已到被攻击的系统:

   \\<被攻击系统的IP\Admin$\system32\NETFD32.EXE 

   \\<被攻击系统的IP\c$\winnt\system32\NETFD32.EXE

   拷贝成功后,会远程启动病毒程序NETFD32.exe。

该蠕虫病毒在局域网内传播迅速,局域网用户请注意共同防毒。以下是该病毒的特点:

   1、自我复制到系统目录,文件名为:PH32.exe

   2、添加注册表启动项

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   "Winux Piriax Service" = PH32.EXE

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

   "Winux Piriax Service" = PH32.EXE

   3、利用IRC软件开启后门,等待远端控制者的命令。

  手工清除方法:断开网络,防止后门程序起作用;使用进程管理器结束名为
“PH32.exe NETFD32.exe”的进程;进入系统目录(%system%)删除文件
“PH32.exe NETFD32.exe”;最后清除以上描述的注册表添加的键值。

   使用此方法,可能会造成谋些应用程序不可使用,需要一定的专业知识,建议普通
用户使用最新病毒库的金山毒霸进行查杀。
  专家提醒:

   1、请及时升级您的毒霸到最新。因为病毒随时在产生,金山毒霸的病毒库也会随时
升级中,请多关注金山毒霸安全咨询网(duba.net)上的最新病毒公告,或者订阅金山毒
霸的“病毒短信”,为您提供最新最快的病毒信息和毒霸的升级信息;

   2、打开网络和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,
只要防止住病毒进入的通道,就可彻底免除病毒带来的危害;

   3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒制作者
会利用人们好奇的心理来骗取自己激活的机会,如前段时间的“911”蠕虫病毒,就是利
用人们对“911”事件的关注心态,来骗取用户打开邮件,从而使用病毒获得激活进会。
大量的木马和黑客程序都会以这种方式来获得运行权;

   4、掌握一些相关的系统操作知识,这样可以方便、及时的发现新病毒。

  如发现可疑文件,请email至: virus@kingsoft.net 

  数据修复急救,请登陆: http://support.kingsoft.net

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.72.9]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.278毫秒