Virus 版 (精华区)

发信人: zyw (秋风), 信区: Virus
标  题: 金山反病毒气象（2003年9月22日至9月28日）<1>
发信站: 哈工大紫丁香 (2003年09月19日08:53:17 星期五), 站内信件

:金山反病毒气象（2003年9月22日至9月28日）<1>
 
http://www.duba.net 　(2003-09-18 16:44)　　文章来源：金山毒霸安全资讯网 

  《接上篇》

　　注册表键值。最后，再次提醒，一定要打上IE的IFRAME漏洞补丁，既可免除此类
病毒的危害，特别是对新装机的用户们。

　　蠕虫病毒：“偷窥者”新变种（Worm.Randex.g） ★★★ 传播方式：网络共享
方式传播
　　 该蠕虫病毒破解远端系统管理员帐号的弱密码，然后开启被攻击系统的网络共
享，通过以下方式拷贝自已到被攻击的系统：

　　 \\<被攻击系统的IP\Admin$\system32\NETFD32.EXE 

　　 \\<被攻击系统的IP\c$\winnt\system32\NETFD32.EXE

　　 拷贝成功后，会远程启动病毒程序NETFD32.exe。

该蠕虫病毒在局域网内传播迅速，局域网用户请注意共同防毒。以下是该病毒的特点：

　　 1、自我复制到系统目录，文件名为：PH32.exe

　　 2、添加注册表启动项

　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　 "Winux Piriax Service" = PH32.EXE

　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　 "Winux Piriax Service" = PH32.EXE

　　 3、利用IRC软件开启后门，等待远端控制者的命令。

　　手工清除方法：断开网络，防止后门程序起作用；使用进程管理器结束名为
“PH32.exe NETFD32.exe”的进程；进入系统目录（%system%)删除文件
“PH32.exe NETFD32.exe”；最后清除以上描述的注册表添加的键值。

　　 使用此方法，可能会造成谋些应用程序不可使用，需要一定的专业知识，建议普通
用户使用最新病毒库的金山毒霸进行查杀。
　　专家提醒：

　　 1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时
升级中，请多关注金山毒霸安全咨询网（duba.net)上的最新病毒公告，或者订阅金山毒
霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；

　　 2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，
只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　 3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者
会利用人们好奇的心理来骗取自己激活的机会，如前段时间的“911”蠕虫病毒，就是利
用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。
大量的木马和黑客程序都会以这种方式来获得运行权；

　　 4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

　　如发现可疑文件，请email至: virus@kingsoft.net 

　　数据修复急救，请登陆： http://support.kingsoft.net

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.72.9]