Virus 版 (精华区)

发信人: fiag (大饼), 信区: Virus
标  题: 3月30日病毒周报 
发信站: 哈工大紫丁香 (Sun Apr  4 12:37:04 2004), 站内信件


3月30日病毒周报 
  
来源:http://www.pandaguard.com 作者:熊猫·中国 软件公司 
 
 
西班牙•马德里，2004年3月28日



本周的病毒周报我们关注5个蠕虫：Mywife.A、Snapper.A、Cone.E、Netsky.P和Witty.A及
一个黑客工具 Starr.A.。



Mywife.A通过一封特征多变的e-mail传播， 它会在Windows注册表中删除与各种防病毒及
安全软件相关的键值，使系统启动时程序无法自动运行。 这意味着一旦中了Mywife.A，就
无法防备其它有害程序的攻击。 



Snapper.A也通过e-mail传播。它利用了影响IE 5.01和5.5版本的Exploit/Iframe漏洞，当
携带蠕虫的邮件通过Outlook预览窗口被阅读时，病毒程序就会自动运行。Snapper.A利用
该漏洞下载文件banner.htm，接着又下载一个.CGI文件，利用Object Data Remote Execu
tion漏洞运行Visual Basic脚本文件。 一旦该脚本被运行，就会在Windows目录下生成一
个DLL文件。



Cone.E通过特征多变的e-mail及P2P文件共享程序传播， Cone.E运行时较易被识别，因为
它会在屏幕上显示若干条信息。同时，Cone.E 能针对伊朗官方新闻机构的网站执行拒绝服
务攻击，并对被感染计算机弹出窗口的信息做出回复。



Netsky.P同样通过特征多变的e-mail及P2P文件共享程序传播，和Snapper.A一样它利用了
 Exploit/Iframe漏洞自动运行。Netsky.P会在被感染计算机上执行一系列操作，如：删除
包括Mydoom.A, Mydoom.B, Mimail.T 及Bagle的几个变种在内的若干蠕虫病毒的键值，在
Windows目录中创建文件及在注册表内删除键值等。



Witty.A利用BlackIce's ICQ parser几个版本中存在的漏洞通过Internet传播。该蠕虫会
随机挑选IP地址并随机选择端口发送病毒代码，一旦突破某台计算机，病毒就会运行并采
取相关行动，如随机改写硬盘扇区，从而使信息丢失并最终导致系统故障。



最后，我们来看Starr.A。这是一个黑客工具，它会监视Internet和系统的活动（如记录下
击键），同时在核心层集成一个保护系统，使得其很难被发现。Starr.A 自身虽不危险，
但能作为一个工具被黑客用于恶意用途。



有关这些病毒及其它恶意代码的详细信息，请访问熊猫软件的病毒百科全书： http://ww
w.pandasoftware.com/virus_info/encyclopedia/
 
 

--
◢ ┏━━━━┓┏━━━┓ ┏━━━━┓ ┏━━━━┓ ◣
   ┃  ┏━━┛┗┓  ┏┛ ┃  ◢◣  ┃ ┃┏━┓¤┃   
   ┃  ┗━┓    ┃  ┃   ┃  ◥◤  ┃ ┃┃■┗┳┫   
   ┃  ┏━┛    ┃  ┃   ┃  ┏┓  ┃ ┃┗┓■┃┃   
   ┃  ┃      ┏┛  ┗┓ ┃  ┃┃  ┃ ┃  ┗━┛┃   
◥ ┗━┛      ┗━━━┛ ┗━┛┗━┛ ┗━━━━┛ ◤

※ 来源:．哈工大紫丁香 bbs.hit.edu.cn [FROM: 210.46.79.17]