Virus 版 (精华区)

发信人: FongHit (Fong), 信区: Virus
标  题: 秋天的童话变种C (Worm.Atale.c) 
发信站: 哈工大紫丁香 (Mon Mar 29 22:12:18 2004), 站内信件

该病毒是“秋天的童话”新变种，感染网页文件，通过邮件进行传播，显示煽动信息，同
时会对某些网站发起DDOS攻击。


一、病毒评估

1．病毒中文名：秋天的童话 III
2．病毒英文名：Worm.Atale.c
3．病毒大小：61,440字节
4．病毒类型：蠕虫病毒
5．病毒危险等级：★★★★
6．病毒传播途径：网络
7．病毒依赖系统：Windows 9x/NT/2000/XP

二、病毒的破坏 

病毒会破坏系统文件关联；破坏autoexec.bat；感染htm等网页文件；释放vbs病毒体并向
外发送邮件，传播力很强。由于该病毒在传播时会向外发送大量的ping包，造成网络阻塞
。

三、病毒报告
1、病毒采用gif格式文件的图标，拷贝自身为系统目录下的“Myphoto.jpg.exe”、“（未
设置键值）.exe”、“  .exe”。

2、病毒修改注册表以自启动。
    HKEY_CLASSES_ROOT\inifile\shell\open\command
 (默认) : C:\WINDOWS\TEMPORARY INTERNET FILES\MYPHOTO.JPG.EXE %1

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices


3、病毒对下列主机进行DDos攻击：

 www.163.com
 www.sina.com.cn 
 www.dell.com  
 www.microsoft.com  
 www.yn.cninfo.net  
 www.km169.net 

4、拷贝自己为下列文件之一，作为脚本发送邮件时的附件

%Temporary Internet Files%\Helpme.exe
%Temporary Internet Files%\Myphoto.jpg.exe
%Temporary Internet Files%\Islove.jpg.exe
%Temporary Internet Files%\Helpme.jpg.exe
%Temporary Internet Files%\Myphoto.exe
%Temporary Internet Files%\Islove.exe

5、调用IE打开下列网址

http://***mincer.top263.net 

6、释放“Network.vbs”，利用outlook向地址簿中的每个邮箱发送一份携带病毒的邮件，
传播自身。

7、试图感染“htm”、“asp”、“html”文件，写入恶意代码。
   被感染的文件运行后，会弹出下列对话框

   标题：“The People's Republic of China Banzai!” （中华人民共和国万岁！）

   正文：“To unify the TanWai by China!”。        （台湾要被大陆统一）

   标题：“No War!Peace Banzai!”                （不要战争！和平万岁！）
   正文：“(Autumnal Fairy Tale)”     （秋天的童话）
   

8、病毒还会修改autoexec.bat，写入耸人听闻的信息：

Warning! illegal access error!                      （警告！不合法的访问）
 a fatal BIOS error,be incapable of data to load......      （严重的BIOS错误，
不能加载数据）

Blood for blood! 
Fuke USA!
等等


四、病毒解决方案：

1.进行升级
瑞星公司将于当天进行升级，升级后的软件版本号为16.19.30，该版本的瑞星杀毒软件可
以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http:/
/www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能
。

2.使用专杀工具
鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的
病毒专杀工具，用户可以到：http://it.rising.com.cn/service/technology/tool.htm网
址进行免费下载，并进行该病毒的清除。

3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途
径，用户可以登陆网址：http://online.rising.com.cn/来使用在线杀毒产品，或者登陆
网址： http://go.rising.com.cn/来使用下载版产品。

4.打电话求救
如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800
来寻求反病毒专家的帮助！

5.手动清除

（1）打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
的“(默认)”值 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
的“(默认)”值
修改HKEY_CLASSES_ROOT\inifile\shell\open\command的(默认)值为 : notepad.exe %1

（2） 将%SYSDIR%目录下的文件: “未设置键值.exe”、“  .exe”删除

 注:%SYSDIR%位Windows系统的安装目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYS
TEM,Win2K下默认为:C:\WINNT\SYSTEM32。


五、安全建议：

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不
太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使
您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP
 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作
用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。 

3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲
击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应
该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复
杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机
受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己
的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动
项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。


7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防
毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一
些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全
。



--
*************************************
*       欢迎访问一个崭新的ftp       *
*  ftp://movie:movie@210.46.78.217   *
*    好多电影！！相信你会喜欢:)     *
*          希望大家支持！           *
*************************************

※ 来源:．哈工大紫丁香 bbs.hit.edu.cn [FROM: 210.46.78.217]