Virus 版 (精华区)

发信人: Kernel (诺曼底登陆), 信区: Virus
标  题: 京信息安全中心毒霸联合发布05日热门病毒
发信站: 哈工大紫丁香 (Thu Feb  5 12:54:43 2004), 站内信件


北京信息安全测评中心、金山毒霸 联合发布2004年2月5日热门病毒 

　　据金山毒霸反病毒实验室介绍，今日提醒用户注意以下病毒：

　　“杜马”新变种（Worm.Dumaru_gen),蠕虫病毒。通过电子邮件传播，在受感染的系统
内开启后门监听，盗取用户网站https://www.e-gold.com/中的重要信息，并发送到作者指
定的邮箱中，造成经济损失。以下是病毒的详情：

　　病毒信息：

　　病毒名称: Worm.Dumaru_gen
　　中文名称: 杜马
　　威胁级别: 2A
　　病毒别名: I-Worm.Dumaru.gen[AVP]
　　病毒类型: 蠕虫
　　受影响系统: Win9x/WinNT/Win2k/WinXP

　　技术特点：

　　A.安装系统时，自我复制副本为：
　　%System%\ls32.exe
　　%System%\vxd32v.exe
　　%Startup%\dllxw.exe

　　B.在注册表主键：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　下添加如下键值：
　　"load32"="%System%\l32x.exe"
　　以便病毒可随机自启动；

　　C.对于Win9x会修改System.ini文件中的[boot]节中的如下项为:
　　shell=explorer.exe %System%\vxd32v.exe

　　对于WinNT/2K/XP则是修改注册表主键:
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

　　下的键值为:
　　Shell=explorer.exe %System%\vxd32v.exe
　　该病毒的以上修改也是为了可随机自启动；

　　D.在电脑中以下类型文件中搜索邮件地址:
　　.htm
　　.wab
　　.html
　　.dbx
　　.tbb
　　.abd
　　存入%SystemRoot%\winload.log文件中

　　E.在%SystemRoot%\Temp目录中生成病毒附件:Zip.tmp,使用自带的SMTP引擎发送病毒
邮件:
　　发件人: "Elene" <FUCKENSUICIDE@HOTMAIL.COM>
　　主题: Important information for you. Read it immediately !
　　内容: Hi !
　　Here is my photo, that you asked for yesterday. 
　　附件: myphoto.zip

　　E.开启线程监听10000TCP端口，等待黑客连接

　　F.查找"https://www.e-gold.com/srk.asp - Microsoft Internet Explorer"窗口,

记录键盘信息存入到%SystemRoot%\vxdload.log文件中,在适当的时候发出去.

　　解决方案:

　　升级毒霸到2004年2月5日的病毒库可完全处理该病毒(2003以前版本需要在安全模式下
)。


--

※ 来源:．哈工大紫丁香 bbs.hit.edu.cn [FROM: 218.108.39.42]