【轉貼】2007下半年病毒警報新聞區

水羽

MSN 盜竊帳號木馬 冒充市場主流防毒軟體

【2007年 2 月 9 日─台北訊】卡巴斯基實驗室台灣區總代理奕瑞科技警告 目前台灣地區流行一透過 MSN 傳訊散佈的木馬惡意程式 ( 卡巴斯基防毒軟體偵測為 : Trojan-Downloader.Win32.Murlo.ez )，植入系統後將會冒充卡巴斯基服務名稱 avp.exe 存在於系統中。此木馬將會轉發使用者電腦網路使用記錄，有心人士將可藉此盜取帳號密碼以及所有可能的個人隱私資訊。

奕瑞科技技術總監謝長軒表示，卡巴斯基的 avp.exe 檔案的位置絕對不會是C:WINDOWSavp.exe，若發現 C:WINDOWSavp.exe 就絕對不是正常的檔案，建議使用者立即使用最新防毒資料庫的防毒軟體進行掃描。

謝長軒還表示，此木馬應該會繼續出現新的變種，建議 MSN 的使用者，不要隨意點擊訊息上的超連結，並隨時將防毒軟體保持在最新的防毒資料庫狀態。


卡巴斯基實驗室警告 Zhelatin 的新變種正在擴散

內容安全管理方案領導廠商 卡巴斯基實驗室，已經偵測到大量的 Email-Worm.Win32.Zhelatin.o 正在快速的擴散。這個蠕蟲是利用大量垃圾郵件的方式進行散佈。

這個由卡巴斯基實驗室病毒分析師所偵測到的蠕蟲是最新的 Zhelatin 家族的變種。就像其他的郵件蠕蟲一樣。這個蠕蟲利用了社交工程的方式採用了能夠吸引使用者興趣的郵件主旨和主題來誘使使用者開啟郵件的附件。

一旦這個附件被開啟，這個蠕蟲就會將自身複製到硬碟上；接著便在受感染的設備上重新啟動以後自動執行。這個蠕蟲也會搜集受感染的電腦上的電子郵件名單，並且自動的寄送給這些電子郵件位址。這個蠕蟲也企圖關閉被感染的電腦上的防火牆和防毒軟體。它也採用了 rootkit 的技術將蠕蟲隱藏在系統中。Zhelatin.o 也將會感染可執行檔 (.exe) 以及副檔名為 .scr 的檔案並將自身的程式碼複製到這些檔案中。

卡巴斯基 6.0 上的免疫防護技術能夠在未取得對應病毒碼之前就能主動的進行攔截。然而，卡巴斯基也已經將偵測以及解毒的特徵碼更新到防毒資料庫中，建議使用者將防毒資料庫更新至最新版本，並且不要任意的開啟陌生人所寄來的郵件附件。

使用者可在 Viruslist.com 的網站上找到 Zhelatin.o的詳細描述。

[ 本文最後由 TSUBASA672302 於 07-9-19 10:50 AM 編輯 ]

水羽

原文由幻影神兵 於 07-9-21 09:39 PM 發表


衝出封鎖線 =ˇ="

話說那邊的 Kerash 副版即為在下

是你喔!!...不敢相信.@.@

好消息來分享一下.....-.-

幻影神兵

原文由TSUBASA672302 於 07-9-21 06:23 PM 發表


上半年的...沒差啦= =
反正是2007年的...
我有小小過濾...但排版就免了..^ ^
<【因為這是我覺得還不錯的訊息所以就貼上來..】>
你說的版主是...? ? ...

衝出封鎖線 =ˇ="

話說那邊的 Kerash 副版即為在下

水羽

原文由幻影神兵 於 07-9-19 03:46 PM 發表
老兄= ="
也不用全貼吧 ...
小小過濾跟排版一下吧

老實說那些資料是「上半年哦」
忘記叫版主去更新= ="

上半年的...沒差啦= =
反正是2007年的...
我有小小過濾...但排版就免了..^ ^
<【因為這是我覺得還不錯的訊息所以就貼上來..】>
你說的版主是...? ?

[ 本文最後由 TSUBASA672302 於 07-9-21 06:29 PM 編輯 ]

幻影神兵

老兄= ="
也不用全貼吧 ...
小小過濾跟排版一下吧

老實說那些資料是「上半年哦」
忘記叫版主去更新= ="

水羽

Worm@W32.Stration.2

Stration.2 駭蟲會散播夾帶檔案的信件，用戶執行該夾帶檔案，WindowsUpdate會被停用，並且會散播給通訊錄的其他連絡人，為Stration 新型態駭蟲。

Stration.2 駭蟲會從受感染電腦中的通訊錄取得郵件地址，並以寄送郵件的方式散播，信件中夾帶的檔案執行後會使WindowsUpdate 停用。

基本介紹
病毒名稱 Worm@W32.Stration.2
病毒別名 W32.Stration@mm[Symantec]
病毒型態 Worm
病毒發現日期 2007/05/29
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：高
破壞程度：中

Worm@W32.Stration.2 行為描述：

註：Windir代表系統所在目錄，在Win95/98/me系統預設值為 C:windows

在WinNT/2000/XP/2003系統預設值為 C:WinNT

註：在Win95/98/me System 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 System 系統預設值為 C:WinNTSystem32

    *

      病毒執行後，在Windir產生

      hfs.dat
      hfs.wax
      hfs.z
      hfs32.exe
    *

      病毒執行後，在System產生

      e1.dll
      ipsminpu.dll
      jgshwint.exe
      pgpswuau.dat
      pgpswuau.dll
      pgpswuau.exe
      winnscar.dll
    *

      修改登錄檔，如此開機即會啟動駭蟲。

      HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

    * hfs= "C:WINDOWShfs32.exe s"

      增加在下列登錄檔值：

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifypgpswuauDllName= "C:WINDOWSsystem32pgpswuau.dll"
    *

      修改登錄檔:

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs= " winnscar.dll e1.dll"
    *

      刪除下列登錄值：

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservImagePath: "systemrootsystem32svchost.exe -k netsvcs"

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservDisplayName: "Automatic Updates"

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservObjectName: "LocalSystem"

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservDescription: "執行 Windows 更新的下載和安裝。如果停用此服務，這部電腦將無法使用 Windows Update 網站。"


轉貼自-台灣論壇

提供這些給大家..大家好好看看吧..

有問題..我不會解說這是轉貼來的= =

[ 本文最後由 TSUBASA672302 於 07-9-19 11:34 AM 編輯 ]

水羽

【快訊】  3月31日，瑞星全球反病毒監測網截獲一個與"熊貓燒香"非常相似的高危病毒，命名為"ANI蠕蟲(Worm.DIOnlineGames.a)"。該病毒不光傳播和危害方式與"熊貓燒香"病毒非常相似，還利用了上周末才剛出現的Vista、xp等操作系統的ANI高危漏洞。根據瑞星客戶服務中心的統計，短短24小時內，已接到大量用戶的求助。鑑於該病毒可能會廣泛傳播並且危害較為嚴重，瑞星發出今年第一個"橙色安全警報"(二級)。

瑞星反病毒專家分析，被"ANI蠕蟲"感染的電腦會從網上下載多種木馬、後門病毒，使得用戶遊戲等帳號被盜，或者電腦變成被黑客控制的"肉雞"。同時，染毒電腦還會發出大量帶毒郵件，郵件的題目是："你和誰視頻的時候被拍下的？給你笑死了！"郵件內容為"看你那小樣！我看你是出名了！你看這個地址！你的臉拍的那麼清楚！你變明星了！http://****.microfsot.com/***/134952.htm"，收到郵件的用戶點擊這個網址就會被感染。

瑞星工程師發現，病毒作者使用國內某網站的郵箱散發病毒，並且郵件內容也為中文，因此基本可以確定該病毒為國人編寫。此外，該病毒跟"熊貓燒香"病毒一樣，也會感染網頁文件並加入病毒代碼。如果網站編輯的計算機被該病毒感染，將網頁文件上傳到網站。那麼訪問該網站用戶就會被感染。

更為嚴重的是，"熊貓燒香"利用的是老的系統漏洞，用戶安裝好系統補丁就可以防範；而"ANI蠕蟲"病毒則採用了上周才被發現的ANI漏洞進行傳播，該漏洞存在於Windows Vista、xp等主流操作系統中，目前微軟還沒有提供補丁程序。

針對此惡性病毒，瑞星殺毒軟件已經升級，19.16.60版本以上即可對其進行徹底查殺。瑞星安全專家提醒廣大用戶，除了升級殺毒軟件、打開實時監控以外，上網時還應該打開個人防火牆，阻止病毒自動下載惡意程序。

【快訊】“今天一開機，我電腦上的殺毒軟體就不能運行，QQ、MSN和迅雷也啟動不了，是不是有很厲害的病毒在爆發啊？”6月6日上午，張小姐給本報打來電話，反應自己電腦上的程式無法運行。

    經過瑞星反病毒專家檢查，她的電腦感染了“帕蟲（worm.pabug)”病毒，這種病毒不但會破壞幾十種常用的殺毒軟體，還會使QQ等常用程式無法運行。據介紹，“帕蟲”病毒主要通過MP3（或者U盤）進行傳播，由於現在使用MP3（U盤）交換歌曲和電影文件的用戶非常多，使得該病毒傳播極廣。“帕蟲”病毒目前已有幾十個變種，全國已有八萬多名用戶遭到此病毒的侵害。

    根據瑞星技術部門分析，該病毒採用了多種技術手段來保護自身不被清除，例如，它會終結幾十種常用的殺毒軟體，如果用戶使用google、百度等搜索引擎搜索“病毒”，瀏覽器也會被病毒強制關閉，使得用戶無法取得相關資訊。

    尤為惡劣的是，“帕蟲”病毒還採用了IFEO劫持（windows文件映像劫持）技術，修改註冊表，使QQ醫生、360安全衛士等幾十種常用軟體無法正常運行，從而使得用戶很難手工清除該病毒。

    瑞星反病毒專家介紹說，“帕蟲”病毒會在每個磁碟分區上建立自動運行文件（包括U盤），從而使得通過U盤傳播的概率大大增加。同時，由於每個分區上都有病毒留下的文件，普通用戶即使格式化C盤重裝系統，也無法徹底清除該病毒。

    針對此惡性病毒，瑞星已經提供專殺工具。瑞星用戶只要升級到最新版本，即可徹底防殺；沒有安裝殺毒軟體的用戶，可以免費下載“橙色八月”專殺工具徹底清除該病毒，下載地址：http://it.rising.com.cn/Channels ... 4786729d36873.shtml

[ 本文最後由 TSUBASA672302 於 07-9-21 06:25 PM 編輯 ]

水羽

Vir@W32.Junkmail

Junkmail 病毒會感染受害電腦特定副檔名的檔案具有嚴重感染行為。

Junkmail 病毒除會感染特定副檔名的檔案，並且透過網路芳鄰進行散佈，受感染的執行檔，不影響原來的功能，但是會先執行病毒功能。

基本介紹
病毒名稱 Vir@W32.Junkmail
病毒別名 W32.Chiton.gen[symantec]
病毒型態 Virus
病毒發現日期 2006/08/15
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：高

Vir@W32.Junkmail 行為描述：

註：Windir代表系統所在目錄，在Win95/98/me系統預設值為 C:windows

在WinNT/2000/XP/2003系統預設值為 C:WinNT

    *

      病毒執行後，在Windir產生

      ExpIorer.exe
    *

      增加下列登錄檔：

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesExpIorer.exe

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesExpIorer.exeSecurity

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExpIorer.exe

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExpIorer.exeSecurity

      HKEY_LOCAL_MACHINESOFTWAREClassescomfileshellopencommand= "ExpIorer "1" *"

      HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand= "ExpIorer "1" *"

      HKEY_LOCAL_MACHINESOFTWAREClassespiffileshellopencommand= "ExpIorer "1" *"
    *

      感染下列副檔名：

      exe

      pif

      com


Vir@W32.Junkmail

Junkmail 病毒會感染受害電腦特定副檔名的檔案具有嚴重感染行為。

Junkmail 病毒除會感染特定副檔名的檔案，並且透過網路芳鄰進行散佈，受感染的執行檔，不影響原來的功能，但是會先執行病毒功能。

基本介紹
病毒名稱 Vir@W32.Junkmail
病毒別名 W32.Chiton.gen[symantec]
病毒型態 Virus
病毒發現日期 2006/08/15
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：高

Vir@W32.Junkmail 行為描述：

註：Windir代表系統所在目錄，在Win95/98/me系統預設值為 C:windows

在WinNT/2000/XP/2003系統預設值為 C:WinNT

    *

      病毒執行後，在Windir產生

      ExpIorer.exe
    *

      增加下列登錄檔：

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesExpIorer.exe

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesExpIorer.exeSecurity

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExpIorer.exe

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExpIorer.exeSecurity

      HKEY_LOCAL_MACHINESOFTWAREClassescomfileshellopencommand= "ExpIorer "1" *"

      HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand= "ExpIorer "1" *"

      HKEY_LOCAL_MACHINESOFTWAREClassespiffileshellopencommand= "ExpIorer "1" *"
    *

      感染下列副檔名：

      exe

      pif

      com

水羽

2007 / 04 / 23

　　安全專家近日指出，利用網站入侵使用者PC的駭客，現在也愈來愈知道如何不讓惡意程式被查到。Web攻擊已愈來愈普遍。根據StopBadware.org的資料，有成千上萬的網站可能植入惡意程式，其中大部份網站是被入侵，然後透過瀏覽器弱點將木馬程式等惡意程式植入用戶PC中。

　　Arbor Networks 資深安全工程師Jose Nazario表示，用於攻擊PC的程式碼，可藏在Flash動畫或自我打散使企圖檢查網頁程式碼的人員難以發覺，其中又以JavaScript為主。一開始攻擊者是利用一般的JavaScript，後來就不一樣了，Nazario說。他已發現一種名為「makemelaugh」的script功能，可植入木馬程式並蒐集銀行資料或是透過社交名媛Paris Hilton的Flash動畫誘使使用者成為傀儡網路的一員。

　　惡意JavaScript可嵌入網頁中，並在使用者不知情情況下開始執行。攻擊者可能誘騙使用者去到他們設立的惡意網站，或是利用稱為跨網站攻擊(cross-site scripting)的弱點侵入受信賴的網站中。要防範惡意JavaScript，使用者雖然可以關閉JavaScript功能，但也因此使許多網站功能無法發揮。另一個方法是使用具有已知不良網站黑名單的工具，像是McAfee的SiteAdvisor或Google的工具列或桌面軟體。

轉貼自：資安人 Information Security　網站

轉http://www.twbbs.net.tw/1759154.html

在今天的病毒中Worm.Delf.fs“代爾夫蠕蟲”變種FS，Backdoor/Codbot.j“代爾夫蠕蟲”變種FS，I-Worm/BBEagle.mo“雛鷹”變種mo，Win32.Troj.Downloader.ho“下載者”變種HO，Win32.Troj.QQPass.dyy“QQ大盜”變種DYY值得關注。

    特別提醒：4月26日（今天）是CIH爆發的日子，中安特別提醒廣大電腦用戶做好防毒工作，並及時進行病毒查殺。專家提醒用戶，針對CIH病毒千萬不要掉以輕心，首先，不要用盜版軟件，堅持使用正版軟件， 打開殺毒軟件實時監控並升級最新病毒庫。其次，對網絡上、光盤和軟盤上的軟件在安裝或使用前一律用殺毒軟件進行檢查，一定要安裝可以自動清除壓縮包內病毒的殺毒軟件。

    一、Worm.Delf.fs（“酷波”變種j）病毒類型：蠕蟲病毒，通過網絡傳播，危險級別：★★★☆，影響系統：WIN 2000/XP/2003。
    Worm.Delf.fs（“酷波”變種j）病毒運行之後，會自動從網站上下載其它的盜號木馬，竊取用戶的隱私文件。同時，該病毒還會下載WinPcap等工具軟件來對局域網發動ARP攻擊，使其它用戶在瀏覽網頁時自動加入一個名為hxxp://4255.biz惡意網址。用戶的計算機訪問該網址後會自動下載病毒並運行。

    二、Backdoor/Codbot.j（“代爾夫蠕蟲”變種FS）病毒類型：後門程序，通過網絡傳播，危險級別：★★，影響系統：Win 9X/ME/NT/2000/XP/2003。
    Backdoor/Codbot.j（“代爾夫蠕蟲”變種FS）該是一個後門，利用被感染計算機上的漏洞進行傳播。“酷波”變種j運行後，自我復制到系統目錄下。修改注冊表，創建服務，實現開機自啟。在TCP 6556端口開啟後門，連接指定站點，偵聽黑客指令，記錄用戶鍵盤和鼠標操作；終止特定的進程；下載遠程文件等。開啟特定端口，利用微軟漏洞進行傳播。

    三、I-Worm/BBEagle.mo（“雛鷹”變種mo）病毒類型：蠕蟲病毒，通過網絡傳播，危險級別：★★，影響系統：Win 9X/ME/NT/2000/XP/2003。
    I-Worm/BBEagle.mo（“雛鷹”變種mo）該病毒是一個利用群發帶毒郵件進行傳播的網絡蠕蟲。“雛鷹”變種mo運行後，在被感染計算機上創建蠕蟲副本。修改注冊表，實現開機自啟。彈出虛假錯誤圖片。利用rootkit技術隱藏自我，防止被查殺。連接指定站點，下載一系列指定的郵箱地址，群發帶毒郵件。終止與安全相關的進程，刪除與安全相關的文件，降低被感染計算機上的安全設置。

    四、Win32.Troj.Downloader.ho（“下載者”變種HO）病毒類型：木馬程序，通過網絡傳播，危險級別：★★，影響系統：Win 9X/ME/NT/2000/XP/2003。
    Win32.Troj.Downloader.ho（“下載者”變種HO）該病毒是一個木馬下載器,當發現受感染電腦的IE可用時,它會自動連接多個惡意站點,下載其他的多個木馬病毒,下載的病毒都是一些盜號木馬病毒,對用戶的網絡虛擬財產構成嚴重的威脅。此外,這次的變種會通過感染電腦的可移動磁盤，達到擴散病毒的目的，有可能造成病毒蔓延的現象，建議用戶提高警惕，捍衛電腦的安全。發作症狀：該病毒運行後，會將自身復制為BinNice.bak,同時釋放一個BinNice.dll病毒文件。注入到系統進程explorer.exe裡,連接到h**p://7y7.us/s**n/csrss.exe等多個惡意站點,進行病毒下載。向可移動磁盤中釋放Ghost.pif和autorun.inf病毒文件，以其來傳播自身。

    五、Win32.Troj.QQPass.dyy（“QQ大盜”變種DYY）病毒類型：木馬程序，通過網絡傳播，危險級別：★★，影響系統：Win 9X/ME/NT/2000/XP/2003。
    Win32.Troj.QQPass.dyy（“QQ大盜”變種DYY）該病毒是“QQ大盜”的惡意改造版,跟之前的“QQ大盜”惡意行為相似,它是針對用戶QQ帳號而來的,它會潛伏在受感染電腦的系統裡,伺機查找QQ的登陸窗口,截取用戶的QQ帳號和密碼信息,將竊取的信息發送給木馬種植者,造成用戶網絡個人財產的損失。此外,它還能強行終止某些殺毒軟件的監控進程,使電腦的安全性能下降,容易受到其他病毒的侵害。發作症狀：該病毒運行後，會釋放wiusvt.exe等多個病毒文件,修改注冊表,實現隨開機自動啟動。結束rfwmain.exe和RavMon.exe等多個殺毒軟件的保護進程。

水羽

TVBS報導，馬英九工作室驚傳駭客入侵，利用工作室成員名義廣發病毒信，惡意癱瘓工作室運作。

　　據悉，馬英九工作室發言人表示，選舉初期出現這種惡質手法，很可能是對手惡意作弄，上午已經前往市刑大報案，希望揪出幕後黑手。

　　據報導，2008選戰還沒白熱化，電腦戰卻已打的火熱，馬英九工作室發言人一早提著電腦前往臺北市刑大報案，他說駭客入侵工作室，廣發病毒信，企圖一步步癱瘓運作。

　　馬英九工作室發言人羅智強表示，病毒信以律師的名義發的，附加一個公務機要費說帖，不能打開這是病毒，虛擬的網址也是正確的，這是以鄭麗文小姐的名義發的。信件會一直跟著時事，不斷跟換主題，但里面都夾病毒，攻擊的目的是很特定，就衝著工作室而來。

Worm@W32.Resik.2

Resik.2 駭蟲藉由USB儲存裝置作為感染及散佈途徑，為Resik新型態駭蟲。

Resik.2 駭蟲是以Recycled資料夾型態存在，執行後，會導致USB裝置無法存取、運作，並且會常駐至電腦中，利用所產生的Autorun.inf，去執行和擴散駭蟲檔案。

基本介紹
病毒名稱 Worm@W32.Resik.2
病毒別名 W32.SillyDC[symantec]
病毒型態 Worm
病毒發現日期 2007/04/17
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：中

Worm@W32.Resik.2 行為描述：

註：在Win95/98/me System 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 System 系統預設值為 C:WinNTSystem32

    *

      病毒執行後，在System產生

      svchost.exe
      _sv_CMD_
      _sv_CMD_.
      _sv_CMD_..
    *

      在USB儲存裝置下產生下列檔案：

      RecycledINFO.exe

      RecycledDriveinfo.exe

      Recycledvoinfo.dll

      autorun.inf

      desktop.ini
    *

      增加下列登錄檔：

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit= "C:WINDOWSsystem32userinit.exe"

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit= "userinit.exe,C:WINDOWSsystemsvchost.exe"