Virus 版 (精华区)

发信人: zyw (秋风), 信区: Virus
标  题: 我国发现"赛文" (WORM_Swen.A)新型蠕虫病毒《2》
发信站: 哈工大紫丁香 (2003年09月21日11:12:59 星期天), 站内信件

:我国发现"赛文" (WORM_Swen.A)新型蠕虫病毒 
http://www.duba.net 　(2003-09-19 18:03)文章来源：国家计算机病毒应急处理中心 
  
　　病毒修改.exe、.reg、.scr、.com、.bat、.pif文件的关联，在此之后，每次运行
上述六种类型的文件时，病毒程序也就运行了
　　HKEY_LOCAL_MACHINE\CLASSES\exefile\shell\open\command 
　　HKEY_LOCAL_MACHINE\CLASSES\regfile\shell\open\command 
　　HKEY_LOCAL_MACHINE\CLASSES\scrfile\shell\open\command 
　　HKEY_LOCAL_MACHINE\CLASSES\comfile\shell\open\command 
　　HKEY_LOCAL_MACHINE\CLASSES\batfile\shell\open\command 
　　HKEY_LOCAL_MACHINE\CLASSES\piffile\shell\open\command 
　　 4、对注册表的其它修改
　　病毒修改注册表，使得用户在此之后运行注册表程序时出现错误信息，它将
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste
m
　　中的"DisableRegistryTools" = "0"修改为"DisableRegistryTools" = "1"
　　病毒修改注册表，在
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
下添加下列键值，存储病毒的一些数据
　　"CacheBox Outfit"="yes" 
　　"Install Item"="<随机>" 
　　"Installed"="...by Begbie" 
　　"ZipName"="<随机>" 
　　"Mirc Install Folder"="<mIRC在系统中存放用户的路径>" 
　　"Unfile"="<随机>.wgt"
　　 5、通过电子邮件进行传播
　　病毒通过邮件传播时其主题、内容、附件名称以及发送者的邮件地址都是随机变化
的。该病毒运行时会将自己伪装成一封微软的升级邮件，诱骗用户打开邮件运行病毒。
并搜索被感染计算机中所有目录下的.dbx、.eml、.mbx和.wab文件中的邮件地址，并向
这些地址发送染毒的电子邮件。
　　 6、通过网络共享传播
　　病毒通过网络共享传播，并尝试将病毒文件拷贝到以下文件夹中
　　\Windows\Start Menu\Programs\Startup 
　　\Documents and Settings\<Infected Computer Name>\Start menu\Programs\Start
up 
　　\Winnt\Profiles\\Start Menu\Programs\Startup
　　 7、其它传播途径
　　病毒还可以通过KaZaA（点对点传播软件）, IRC（Internet在线聊天系统）和新闻
组进行传播。
　　 8、终止反病毒软件和防火墙的运行
　　病毒会终止多家反病毒软件和防火墙的运行，从而使用户电脑的失去最基本的安全
防护。
　　 国家计算机病毒应急处理中心
　　 计算机病毒防治产品检验中心
　　 网 址：Http://www.antivirus-China.org.cn
　　 电　　话：022-66211488/66211489/66211490 
　　 传　　真：022-66211487 
　　 电子邮件：security@tj.cnuninet.net 

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.72.9]