Virus 版 (精华区)

发信人: hjdu (A8), 信区: Virus
标  题: 本周病毒早知道
发信站: 哈工大紫丁香 (2003年10月22日08:32:28 星期三), 站内信件

　从国家计算机病毒应急处理中心了解到，本周没新的病毒发作，还是一些老病毒。
病毒名称：Worm_Zezer
病毒种类：蠕虫
感染系统：Windows 95/98/Me/NT/2000/XP
病毒使用Visual Basic 6编写，并使用UPX压缩。病毒慌称MSN的补丁安装程序，并以微软
的名义发送电子邮件，以诱骗用户打开附件，感染病毒。病毒具有如下特征。 
1、 生成多个病毒副本到系统中
%Windows%\Mscsgs.exe（%Windows%通常为C:\Windows或C:\Winnt）
%System%\Mscsgs32.exe（%System%在Windows 9x/Me下为C:\Windows\System，在Windows
 NT/2000下为 C:\WINNT\System32，在Windows XP下为 C:\Windows\System32）
%startup%msnexec.exe（%startup%为系统的启动目录）
2、修改注册表 添加启动项，使得病毒文件能随系统启动而自动运行
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
Mscsgs="%WindowsRoot%\Mscsgs.exe"
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下添
加
"Mscsgs32"="%SYSTEM%MSCSGS32.EXE " 
3、发送病毒电子邮件 病毒邮件慌称微软发布了一个与MSN有关的漏洞补丁，让MSN的用户
取下载补丁程序。病毒会获取MSN中联络人的邮件地址，并向这些地址发送带毒的电子邮件
。邮件格式如下： 
发信人：（为下列之一）
winpatch@microsoft.com
services@microsoft.com
msnsupport@microsoft.com
helpdesk@microsoft.com
security@microsoft.com
windowsupdate@microsoft.com
run = "WINhelp32.exe" 
主题：（为下列之一）
Windows Update
MSN Messenger Update
MSN Messenger vulnerability
附件：Msn_inst.exe
内容："Attention All Microsoft Users： A patch has been issued to correct a vu
lnerability in MSN Messenger which can be performed by a malicious user in ord
er to gain unauthorized access to compromised computers. Windows users who hav
e MSN Messenger 4.x and higher versions are affected by this vulnerability and
 must download and install the patch labeled , which is attached to this email
 message. For any support regarding this patch please contact support@microsof
t.com for more information." 
4、病毒会关闭多家反病毒软件和防火墙，使计算机失去基本的防护。 
5、病毒还会窃取存储于系统中的帐号及密码 
清除病毒的相关操作
1、终止病毒进程
在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE
在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC
选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。
2、注册表的恢复
点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MAC
HINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，并删除面板右侧的"Mscsgs"="
%WINDOWS%MSCSGS.EXE"。
再依次双击左侧的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices ，找到并删除面板右侧的"Mscsgs32"="%SYSTEM%MSCSGS32.EXE "
3、删除病毒文件 点击"开始--〉查找--〉文件和文件夹"，查找"Mscsgs.exe"、"Mscsgs3
2.exe" 、"msnexec.exe"，并将找到的文件删除。
4、运行杀毒软件对系统进行全面的病毒查杀 
本周发作： 
病毒名称：WM_TWNO.D
病毒类型：宏病毒
发作日期：10月25日
危害程度：病毒会改变Word的工具条，同时向用户提出问题,并根据回答删除C:\DOS\*.*，
C:\WINDOWS\*.INI。 
　　近来，北方的气温急下降，小编提醒朋友们要适当增加衣服御寒，经常上网的网迷们
一定要像预防流感一样，及时的升级杀毒软件，那样你的宝贝电脑就不会“感冒”啦。

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 218.9.121.213]