Virus 版 (精华区)
发信人: FongHit (Fong), 信区: Virus
标 题: 秋天的童话变种C (Worm.Atale.c)
发信站: 哈工大紫丁香 (Mon Mar 29 22:12:18 2004), 站内信件
该病毒是“秋天的童话”新变种,感染网页文件,通过邮件进行传播,显示煽动信息,同
时会对某些网站发起DDOS攻击。
一、病毒评估
1.病毒中文名:秋天的童话 III
2.病毒英文名:Worm.Atale.c
3.病毒大小:61,440字节
4.病毒类型:蠕虫病毒
5.病毒危险等级:★★★★
6.病毒传播途径:网络
7.病毒依赖系统:Windows 9x/NT/2000/XP
二、病毒的破坏
病毒会破坏系统文件关联;破坏autoexec.bat;感染htm等网页文件;释放vbs病毒体并向
外发送邮件,传播力很强。由于该病毒在传播时会向外发送大量的ping包,造成网络阻塞
。
三、病毒报告
1、病毒采用gif格式文件的图标,拷贝自身为系统目录下的“Myphoto.jpg.exe”、“(未
设置键值).exe”、“ .exe”。
2、病毒修改注册表以自启动。
HKEY_CLASSES_ROOT\inifile\shell\open\command
(默认) : C:\WINDOWS\TEMPORARY INTERNET FILES\MYPHOTO.JPG.EXE %1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
3、病毒对下列主机进行DDos攻击:
www.163.com
www.sina.com.cn
www.dell.com
www.microsoft.com
www.yn.cninfo.net
www.km169.net
4、拷贝自己为下列文件之一,作为脚本发送邮件时的附件
%Temporary Internet Files%\Helpme.exe
%Temporary Internet Files%\Myphoto.jpg.exe
%Temporary Internet Files%\Islove.jpg.exe
%Temporary Internet Files%\Helpme.jpg.exe
%Temporary Internet Files%\Myphoto.exe
%Temporary Internet Files%\Islove.exe
5、调用IE打开下列网址
http://***mincer.top263.net
6、释放“Network.vbs”,利用outlook向地址簿中的每个邮箱发送一份携带病毒的邮件,
传播自身。
7、试图感染“htm”、“asp”、“html”文件,写入恶意代码。
被感染的文件运行后,会弹出下列对话框
标题:“The People's Republic of China Banzai!” (中华人民共和国万岁!)
正文:“To unify the TanWai by China!”。 (台湾要被大陆统一)
标题:“No War!Peace Banzai!” (不要战争!和平万岁!)
正文:“(Autumnal Fairy Tale)” (秋天的童话)
8、病毒还会修改autoexec.bat,写入耸人听闻的信息:
Warning! illegal access error! (警告!不合法的访问)
a fatal BIOS error,be incapable of data to load...... (严重的BIOS错误,
不能加载数据)
Blood for blood!
Fuke USA!
等等
四、病毒解决方案:
1.进行升级
瑞星公司将于当天进行升级,升级后的软件版本号为16.19.30,该版本的瑞星杀毒软件可
以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http:/
/www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能
。
2.使用专杀工具
鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的
病毒专杀工具,用户可以到:http://it.rising.com.cn/service/technology/tool.htm网
址进行免费下载,并进行该病毒的清除。
3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途
径,用户可以登陆网址:http://online.rising.com.cn/来使用在线杀毒产品,或者登陆
网址: http://go.rising.com.cn/来使用下载版产品。
4.打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800
来寻求反病毒专家的帮助!
5.手动清除
(1)打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
的“(默认)”值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
的“(默认)”值
修改HKEY_CLASSES_ROOT\inifile\shell\open\command的(默认)值为 : notepad.exe %1
(2) 将%SYSDIR%目录下的文件: “未设置键值.exe”、“ .exe”删除
注:%SYSDIR%位Windows系统的安装目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYS
TEM,Win2K下默认为:C:\WINNT\SYSTEM32。
五、安全建议:
1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不
太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使
您的计算机更加安全。
2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP
客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作
用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。
3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲
击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应
该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。
4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复
杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机
受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己
的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动
项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防
毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一
些主要监控打开(如邮件监控)、遇到问题要及时上报,这样才能真正保障计算机的安全
。
--
*************************************
* 欢迎访问一个崭新的ftp *
* ftp://movie:movie@210.46.78.217 *
* 好多电影!!相信你会喜欢:) *
* 希望大家支持! *
*************************************
※ 来源:.哈工大紫丁香 bbs.hit.edu.cn [FROM: 210.46.78.217]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.204毫秒