光电工程师社区

标题: 病毒预报 [打印本页]

作者: suncon 时间: 2004-5-19 11:12
标题: 病毒预报
在“震荡波”出现后，近期又出现了“震荡波”变种E和“震荡波清除者”病毒。 病毒名称：“震荡波清除者”（Worm_Cycle.A） 感染系统： Win2000/WinXP/Win2003/Win NT 4.0 病毒长度：10,240字节（UPX压缩） 病毒特征： 1、生成病毒文件 病毒在system目录下生成自身的拷svchost.exe，还在indows目录下生成文件cyclone.txt。 2、修改注册表项 病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建 "Generic Host Service"="%system\svchost.exe" HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建 "Generic Host Service"="system\svchost.exe" 3、通过系统漏洞主动进行传播 病毒在在TCP/3332端口开启后门服务，接受连接，在UDP/69端口上运行一个TFTP服务器下载蠕虫副本。病毒对外连接随机产生主机的TCP/445端口，去感染其他的主机。 4、终止进程 病毒会终止以下进程，msblast.exe、avserve.exe、avserve2.exe和skynetave.exe，这些进程是“冲击波”、“震荡波”病毒及他们的变种创建的。 5、发动DoS攻击 当系统时间为5月18日，病毒将对网www.irna.com www.bbcnews.com发动DoS攻击。 病毒名称：“震荡波”变种E（Worm_Sasser.E） 感染系统： Win2000/WinXP 病毒长度：16,384字节 病毒特征： 1、生成病毒文件 病毒运行后，在ystem％目录下生成自身的拷贝，名称为LSASSS.EXE。 2、修改注册表项 病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建 "LSASSS.EXE" = ystem\LSASSS.EXE 3、通过系统漏洞主动进行传播 病毒通过在已被感染的机器上开启TCP端口1023建立一个FTP服务器（机器A），用来作为感染其它机器的服务器。并通过TCP445端口扫描随机的IP，当发现存在漏洞的系统连接成功时，被感染的计算机（机器A）向连接成功的机器（机器B）发动攻击，被攻击的计算机（机器B）将会自动连接已被感染计算机（机器A）的1023端口并通过FTP下载蠕虫的拷贝。数据包会运行一个可打开1022端口的远程壳。 4、危害性 受感染的系统可能会出现倒计时对话框，频繁重新启动，系统运行速度明显减慢或死机，上网只能持续很短时间就无法浏览甚至断网等现象。病毒会对网络性能有一定影响，尤其局域网可能造成网络瘫痪。 清除该病毒的相关建议： 1、安全模式启动 重新启动系统同时按下按F8键，进入系统安全模式 2、注册表的恢复 点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun ，并删除右侧面板中的"LSASSS.EXE" = ystemRoot\LSASSS.EXE 3、删除病毒释放的文件点击“开始--〉查找--〉文件和文件夹”，查找文件“LSASSS.EXE”，并将找到的文件删除。 4、安装系统补丁程序 到以下微软网站下载安装补丁程序： http://www.microsoft.com/technet/security/bulletin/ MS04-011.mspx 或者在IE浏览器的工具－Windows Update升级系统。 5、重新配置防火墙 重新配置边界防火墙或个人防火墙，关闭TCP端口1022和1023。 本周发作： 病毒名称：“生日快乐” （Troj_YerHS） 病毒类型：特洛伊木马病毒 发作日期：5月22日 危害程度： 22日，病毒会弹出一个对话框，对话框的标题为 “You are my Best Friend”（你是我最好的朋友），内容为“Happy Birthday Dear”（生日快乐，亲爱的）。 病毒名称：“里拉”（Worm_Livra.A） 病毒类型：蠕虫病毒 发作日期：5月24日 危害程度：24日，病毒会打开网页 http://www.avril-lavigne.com，在屏幕中央显示椭圆图案，并在屏幕的左上角显示以下信息“AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg” 专家提醒： 1、目前，不少病毒可以通过局域网进行，建议在局域网内只将共享资料夹给某些有需要的特定使用者，而不要将整个硬盘共享，并将所有要共享的文件设定成只读模式。减少病毒传播的途径。 2、很多网络病毒就通过猜测简单密码的方式对系统进行攻击，因此建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全系数。 3、购买和安装正版的杀毒软件和个人防火墙，并根据自身需求做好相应的设置，使其充分发挥作用。同时，要定期升级杀毒软件和防火墙，并启动“实时监控”功能。

作者: zhaojunjie0000 时间: 2004-5-20 00:03

顶！！！

作者: suncon 时间: 2004-5-26 09:59
你的防火墙有用吗？你试一试就知道了！！！

这个网站可以测试你浏览器的安全性和防火墙的性能.点下面的网址,进入后选中" I agree to indemnify and hold TestMyFirewall.com and our service provider harmless from any claim or damage resulting from your use of this service. ",点"Scan"进行扫描.根据网站的说明如果测试时你的光驱自动弹了出来,这说明你的浏览器存在允许执行恶意代码的安全隐患.看看你的网页防火墙好不好使吧! http://www.testmyfirewall.com/spyware_removal.asp

作者: ryanlee31 时间: 2004-5-26 18:33
ok

欢迎光临光电工程师社区 (http://bbs.oecr.com/)