Virus 版 (精华区)

发信人: FongHit (Fong), 信区: Virus
标  题: 秋天的童话变种C (Worm.Atale.c) 
发信站: 哈工大紫丁香 (Mon Mar 29 22:12:18 2004), 站内信件

该病毒是“秋天的童话”新变种,感染网页文件,通过邮件进行传播,显示煽动信息,同
时会对某些网站发起DDOS攻击。


一、病毒评估

1.病毒中文名:秋天的童话 III
2.病毒英文名:Worm.Atale.c
3.病毒大小:61,440字节
4.病毒类型:蠕虫病毒
5.病毒危险等级:★★★★
6.病毒传播途径:网络
7.病毒依赖系统:Windows 9x/NT/2000/XP

二、病毒的破坏 

病毒会破坏系统文件关联;破坏autoexec.bat;感染htm等网页文件;释放vbs病毒体并向
外发送邮件,传播力很强。由于该病毒在传播时会向外发送大量的ping包,造成网络阻塞


三、病毒报告
1、病毒采用gif格式文件的图标,拷贝自身为系统目录下的“Myphoto.jpg.exe”、“(未
设置键值).exe”、“  .exe”。

2、病毒修改注册表以自启动。
    HKEY_CLASSES_ROOT\inifile\shell\open\command
 (默认) : C:\WINDOWS\TEMPORARY INTERNET FILES\MYPHOTO.JPG.EXE %1

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices


3、病毒对下列主机进行DDos攻击:

 www.163.com
 www.sina.com.cn 
 www.dell.com  
 www.microsoft.com  
 www.yn.cninfo.net  
 www.km169.net 

4、拷贝自己为下列文件之一,作为脚本发送邮件时的附件

%Temporary Internet Files%\Helpme.exe
%Temporary Internet Files%\Myphoto.jpg.exe
%Temporary Internet Files%\Islove.jpg.exe
%Temporary Internet Files%\Helpme.jpg.exe
%Temporary Internet Files%\Myphoto.exe
%Temporary Internet Files%\Islove.exe

5、调用IE打开下列网址

http://***mincer.top263.net 

6、释放“Network.vbs”,利用outlook向地址簿中的每个邮箱发送一份携带病毒的邮件,
传播自身。

7、试图感染“htm”、“asp”、“html”文件,写入恶意代码。
   被感染的文件运行后,会弹出下列对话框

   标题:“The People's Republic of China Banzai!” (中华人民共和国万岁!)

   正文:“To unify the TanWai by China!”。        (台湾要被大陆统一)

   标题:“No War!Peace Banzai!”                (不要战争!和平万岁!)
   正文:“(Autumnal Fairy Tale)”     (秋天的童话)
   

8、病毒还会修改autoexec.bat,写入耸人听闻的信息:

Warning! illegal access error!                      (警告!不合法的访问)
 a fatal BIOS error,be incapable of data to load......      (严重的BIOS错误,
不能加载数据)

Blood for blood! 
Fuke USA!
等等


四、病毒解决方案:

1.进行升级
瑞星公司将于当天进行升级,升级后的软件版本号为16.19.30,该版本的瑞星杀毒软件可
以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http:/
/www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能


2.使用专杀工具
鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的
病毒专杀工具,用户可以到:http://it.rising.com.cn/service/technology/tool.htm网
址进行免费下载,并进行该病毒的清除。

3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途
径,用户可以登陆网址:http://online.rising.com.cn/来使用在线杀毒产品,或者登陆
网址: http://go.rising.com.cn/来使用下载版产品。

4.打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800
来寻求反病毒专家的帮助!

5.手动清除

(1)打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
的“(默认)”值 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
的“(默认)”值
修改HKEY_CLASSES_ROOT\inifile\shell\open\command的(默认)值为 : notepad.exe %1

(2) 将%SYSDIR%目录下的文件: “未设置键值.exe”、“  .exe”删除

 注:%SYSDIR%位Windows系统的安装目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYS
TEM,Win2K下默认为:C:\WINNT\SYSTEM32。


五、安全建议:

1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不
太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使
您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP
 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作
用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。 

3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲
击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应
该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复
杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机
受到更多的感染,或者成为传播源,再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己
的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动
项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。


7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防
毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一
些主要监控打开(如邮件监控)、遇到问题要及时上报,这样才能真正保障计算机的安全




--
*************************************
*       欢迎访问一个崭新的ftp       *
*  ftp://movie:movie@210.46.78.217   *
*    好多电影!!相信你会喜欢:)     *
*          希望大家支持!           *
*************************************

※ 来源:.哈工大紫丁香 bbs.hit.edu.cn [FROM: 210.46.78.217]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.204毫秒