【轉貼】2007下半年病毒警報新聞區

水羽

MSN 盜竊帳號木馬 冒充市場主流防毒軟體

【2007年 2 月 9 日─台北訊】卡巴斯基實驗室台灣區總代理奕瑞科技警告 目前台灣地區流行一透過 MSN 傳訊散佈的木馬惡意程式 ( 卡巴斯基防毒軟體偵測為 : Trojan-Downloader.Win32.Murlo.ez )，植入系統後將會冒充卡巴斯基服務名稱 avp.exe 存在於系統中。此木馬將會轉發使用者電腦網路使用記錄，有心人士將可藉此盜取帳號密碼以及所有可能的個人隱私資訊。

奕瑞科技技術總監謝長軒表示，卡巴斯基的 avp.exe 檔案的位置絕對不會是C:WINDOWSavp.exe，若發現 C:WINDOWSavp.exe 就絕對不是正常的檔案，建議使用者立即使用最新防毒資料庫的防毒軟體進行掃描。

謝長軒還表示，此木馬應該會繼續出現新的變種，建議 MSN 的使用者，不要隨意點擊訊息上的超連結，並隨時將防毒軟體保持在最新的防毒資料庫狀態。


卡巴斯基實驗室警告 Zhelatin 的新變種正在擴散

內容安全管理方案領導廠商 卡巴斯基實驗室，已經偵測到大量的 Email-Worm.Win32.Zhelatin.o 正在快速的擴散。這個蠕蟲是利用大量垃圾郵件的方式進行散佈。

這個由卡巴斯基實驗室病毒分析師所偵測到的蠕蟲是最新的 Zhelatin 家族的變種。就像其他的郵件蠕蟲一樣。這個蠕蟲利用了社交工程的方式採用了能夠吸引使用者興趣的郵件主旨和主題來誘使使用者開啟郵件的附件。

一旦這個附件被開啟，這個蠕蟲就會將自身複製到硬碟上；接著便在受感染的設備上重新啟動以後自動執行。這個蠕蟲也會搜集受感染的電腦上的電子郵件名單，並且自動的寄送給這些電子郵件位址。這個蠕蟲也企圖關閉被感染的電腦上的防火牆和防毒軟體。它也採用了 rootkit 的技術將蠕蟲隱藏在系統中。Zhelatin.o 也將會感染可執行檔 (.exe) 以及副檔名為 .scr 的檔案並將自身的程式碼複製到這些檔案中。

卡巴斯基 6.0 上的免疫防護技術能夠在未取得對應病毒碼之前就能主動的進行攔截。然而，卡巴斯基也已經將偵測以及解毒的特徵碼更新到防毒資料庫中，建議使用者將防毒資料庫更新至最新版本，並且不要任意的開啟陌生人所寄來的郵件附件。

使用者可在 Viruslist.com 的網站上找到 Zhelatin.o的詳細描述。

[ 本文最後由 TSUBASA672302 於 07-9-19 10:50 AM 編輯 ]

水羽

目前雖無駭客攻擊紀錄　快更新！Windows有新漏洞

      台灣微軟公司今(15)日發佈9月份例行性資訊安全公告，本月內容包括二項近期發佈之
      資訊安全通知MS04-027與MS04-028。其中MS04-028的最高嚴重性等級屬於重大，
      MS04-027的最高嚴重性等級則為重要，並且為台灣微軟公司首次發佈JPEG相關的補充程式。
      本次受到影響的微軟產品廣泛，雖然目前並無相關病毒及駭客攻擊，台灣微軟公司仍然呼籲
      所有客戶立即使用「自動更新」功能隨時更新程式，或是立刻下載補充程式，以確保電腦
      使用的安全。
      賽門鐵克亞太區技術顧問林育民表示，「這些高度及中度風險的產品弱點，使用者可以立即
      採取步驟來保護自身的電腦安全」，林育民進一步指出，「除了要立即至微軟網站下載安裝
      修補程式外，使用者切記不要開啟或點選任何來路不明的檔案及網路連結。另外，建議用戶
      應安裝入侵偵測及個人防火牆，隨時監控任何可疑的網路安全事件。」
      所謂「JPEG處理（GDI+）緩衝區溢位弱點Buffer Overrun in JPEG Processing (GDI+)」，該弱點
      會被遠端利用控制。駭客必須能夠製作一個精巧的破解程式，能夠產生一個JPEG影像來破解
      此弱點。駭客將此JPEG圖檔嵌在office文件、網頁，或是電子郵件訊息裡。如果使用者的電腦
      中存有此弱點的軟體或程式，當開啟了此JPEG圖檔，該弱點立刻被啟動，駭客便可在受害者
      電腦上任意執行程式碼。
      微軟WordPerfect轉換程式遠端緩衝區溢位弱點
      Microsoft WordPerfect Convert Remote Buffer Overflow Vulnerability則是若駭客要進行攻擊，駭客
      可以透過各種方式，像是email、即時傳訊，或FTP傳輸等，將某程式傳送給使用者。駭客也可以
      利用將該惡意的檔案放在網站上，引誘使用者上網開啟該檔案。只有當使用者開啟了
      該惡意程式，否則駭客無法利用該弱點進行攻擊。如果電腦真的遭受此弱點的攻擊，將有可能
      發生阻斷式服務攻擊，駭客亦可以遠端執行惡意程式碼。


　趨勢：目前未發現，不排除出現的可能

      日前微軟公佈JPEG圖像安全處理漏洞修補程式，這個漏洞可以導致利用圖像檔案在受害者
      電腦上執行惡意程式，也有可能讓使用者瀏覽網站時，因病毒圖片而遭受攻擊，昨日不少
      國外網站報導JPEG相關病毒正在上路，更有國外媒體認為該病毒一週內就會出現，防毒
      軟體公司趨勢科技行銷協理吳韶卿指出，目前這樣的病毒尚未發現，但不排除未來出現
      JPEG病毒的可能性。
      吳韶卿說，目前許多駭客網站都公佈有關於JPEG病毒程式碼，但全球各地並未接到病毒報告
      ，簡單來說，目前只有「教導製造刀子的方式」，尚未生產出刀子出來，因此不算有JPEG
      病毒產生，但是未來不排除出現JPEG病毒的可能。
      吳韶卿表示，趨勢內部預估未來該病毒可能以e-mail夾檔方式散佈，所以Windows使用者絕對
      不能輕忽微軟公佈JPEG圖像安全處理漏洞修補程式，應趁早下載更新。
      此漏洞能夠感染Windows XP、Windows Server 2003、Office XP、Office 2003、
      Internet Explorer 6 SP1、Project、Visio、Picture It和Digital Image Pro等各種微軟應用軟體與操作
      系統，但是Windows XP SP2不在名單中。

世界末日病毒變種再肆虐

      賽門鐵克、趨勢科技、組合國際等防毒軟體業者昨日發布病毒警訊，「世界末日」病毒
      (Mydoom.M）出現變種，該病毒利用Yahoo!、Google等搜尋引擎蒐集電子郵件來散佈病毒，
      可能造成網路癱瘓等後果，該病毒在歐洲和美洲造成災情，亞洲及台灣等區域也有零星災
      情出現。
      該病蟲會在電腦1034/tcp通訊埠，安裝一個後門程式，如果電腦受到感染，駭客將可
      以遠端操控受感染的電腦。
      該病蟲還會搜尋有.doc、txt、htm、html檔案的電子郵件地址。
      甚至會利用Yahoo!、Google、Altavisa及Lycos等搜尋引擎，搜刮電子郵件地址以散播病毒。

W32.Korgo.F

      W32.Korgo.F 是 W32.Korgo.E 的次要變異體。 它是一隻會嘗試探測 TCP 埠號 445
      上「Microsoft Windows LSASS 緩衝溢位弱點」 (BID 10108) 並藉以散播的病蟲。
      此外，它還會監聽 TCP 埠號 113、3067 及其它隨機通訊埠。

[ 本文最後由 TSUBASA672302 於 07-9-21 06:24 PM 編輯 ]

水羽

Worm@W32.Resik

藉由USB儲存裝置作為感染及散佈途徑。

執行蠕蟲後，會複製蠕蟲本體以及新增inetsrv.exe、 Driveinfo.log至電腦主機，而在USB儲存裝置設備則新增名為autorun.inf檔案及Recycled資料夾，此資料夾中存放著 Driveinfo.sdc、Driveinfo.exe、voinfo.dll。

基本介紹
病毒名稱 Worm@W32.Resik
病毒別名 W32.Resik.A[symantec]
病毒型態 Worm
病毒發現日期 2007/01/10
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：中

Worm@W32.Resik 行為描述：

註：在Win95/98/me System 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 System 系統預設值為 C:WinNTSystem32

    *

      透過病毒執行後，將駭蟲本身複製到System

    *

      病毒執行後，在System產生

      inetsrv.exe
    *

      在USB儲存裝置下產生下列目錄：

      Recycled
    *

      在USB儲存裝置下產生下列檔案：

      RecycledDriveinfo.sdc

      RecycledDriveinfo.exe

      Recycledvoinfo.dll

      autorun.inf
    *

      修改登錄檔，如此開機即會啟動駭蟲。

      HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

      inetsrv: "D:WINNTsystem32inetsrv.exe"

來源：http://www.y2000.com.tw/hot/Worm@W32.Resik.htm

水羽

Worm@W32.Rahack.2

Rahack.2 駭蟲執行後產生惡意檔案，為Rahack 的新型態駭蟲。

Rahack.2駭蟲會利用簡易密碼的弱點，達到入侵電腦的目的，執行上傳或下載某些檔案的動作。

基本介紹
病毒名稱 Worm@W32.Rahack.2
病毒別名 W32.Rahack.W[symantec]
病毒型態 Worm
病毒發現日期 2007/03/16
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：中

Worm@W32.Rahack.2 行為描述：

註：在Win95/98/me System 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 System 系統預設值為 C:WinNTSystem32

    *

      病毒執行後，在System產生

      urdvxc.exe
    *

      產生下列登錄檔：

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWindows

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMSWindows
    *

      增加下列登錄檔的值：

      HKEY_CLASSES_ROOTCLSID[RANDOM_CLSID] LocalServer32="C:WINNTsystem32urdvxc.exe"

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMSWindows ImagePath=""C:WINNTsystem32urdvxc.exe" /service"

Spy@W32.Hitapop

Hitapop 為一間諜程式，被稙入的受害電腦，該電腦內部資訊會被竊取。

Hitapop 為間諜程式一旦電腦被植入，會產生惡意檔案在系統目錄內，並且寫入登錄檔，以便重新啟動系統後還能繼續執行該程式，導致該受害電腦傳送出關於該電腦使用者的資訊、電腦的使用情形、或是儲存於該電腦的資訊，給未經授權或有心人士。嚴重威脅到資訊安全及隱私。

基本介紹
病毒名稱 Spy@W32.Hitapop
病毒別名 W32.Hitapop[Symantec]
病毒型態 Worm
病毒發現日期 2007/03/06
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：中

Spy@W32.Hitapop 行為描述：

註：Windir代表系統所在目錄，在Win95/98/me系統預設值為 C:windows

在WinNT/2000/XP/2003系統預設值為 C:WinNT

註：在Win95/98/me System 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 System 系統預設值為 C:WinNTSystem32

    *

      病毒執行後，在Windir產生

      mywinsys.ini
    *

      病毒執行後，在System產生

      AlxRes070221.exe
      scrsys070221.scr
      winsys32_070221.dll
      scrsys16_070221.scr
      winsys16_070221.dll
    *

      修改登錄檔，如此開機即會啟動駭蟲：

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Userinit= "C:WINNTsystem32userinit.exe,rundll32.exe C:WINNTsystem32winsys16_070221.dll start"

水羽

Worm@W32.Rinbot

Rinbot 駭蟲會透過漏洞進行散佈並影響其他電腦。

Rinbot 駭蟲會經由使用者電腦內的漏洞以及電子郵件作散佈、擴散，並且在執行之後，自行複製本體，以及產生檔案至網路磁碟機。

基本介紹
病毒名稱 Worm@W32.Rinbot
病毒別名 W32/Rinbot.gen.worm[PandaSoftware]
病毒型態 Worm , Backdoor
病毒發現日期 2007/04/10

利用漏洞
MS06-040(英文)
MS06-040(中文)
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：中

Worm@W32.Rinbot 行為描述：

註：在Win95/98/me System 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 System 系統預設值為 C:WinNTSystem32

    *

      病毒執行後，在System產生

      activedsr.exe
      sslcert.exe
    *

      修改登錄檔，如此開機即會啟動駭蟲。

      HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

    * Secure Socket Layer Certification= "C:WINDOWSsystem32sslcert.exe"

      增加下列登錄檔的值：

      HKEY_USERS[RANDOM_CLSID] SoftwareMicrosoftWindowsShellNoRoamMUICache C:WINNTsystem32sslcert.exe= "sslcert"

      HKEY_USERS[RANDOM_CLSID] SoftwareMicrosoftWindowsShellNoRoamMUICache C:radi.exe= "radi"


標題：   "遊標漏洞"病毒傳播源被斬斷 專家稱謹防新變種
分類： 熱門病毒專題
內容：

4月3日，江民公司反病毒中心監測到，被種植“遊標漏洞”蠕蟲病毒的網站已經全部被封。病毒利用微軟Windows系統ANI文檔處理漏洞瘋狂傳播的態勢有望得到有效地遏制。

   據江民反病毒專家介紹，“遊標漏洞”蠕蟲病毒的更新方式是每次到網上一個固定位址去下載自己的最新版本，現在這個固定位址被封了，病毒也就無法再通過原來的位址進行更新了。目前發現的病毒變種有4個，還沒有發現不能查出的病毒變種，如果這個蠕蟲病毒不再有新變種的話，現有的幾個變種很快就會被殺光。專家同時表示，也不能排除病毒的作者攻陷新的網站，將最新的病毒變種掛在網站上進行新一輪傳播的可能。

   據瞭解，目前國家電腦病毒主管機關已開始密切關注該病毒，江民等反病毒廠商也將積極蒐集病毒的最新動態，同時將第一時間升級病毒庫，確保電腦使用者的上網安全。

   但反病毒專家建議電腦使用者並不能因此放鬆警惕，應謹防病毒的出現新變種，使用者應及時升級殺毒軟體病毒庫，不要隨意點擊陌生網站及信件，上網時務必開啟 “系統監測”和“網頁監控”功能，使用者也可以使用江民反病毒中心緊急研發推出的“遊標漏洞專殺工具”，全面進行系統查毒，清除病毒並修復被感染的檔。

水羽

16歲男孩博客發佈病毒“小兔子”

昨日，《每日經濟新聞》發現一網名為“藍天草地 ”赫然在自己的博客中發表了一篇名為“發佈我的新病毒‘小兔子’，不喜歡的勿入”的文章，且作者詳細提供了病毒下載位址，並在網路上公開展示病毒製造全過程。是公然挑戰國家法律，還是對法律的無知？反病毒專家提出了質疑。

博客發佈新病毒“小兔子”

記者在他發佈的博客署名中看到，“藍天草地”性別男；生日1991年10月3日，目前居住地江西吉安，並且還發佈了郵箱和QQ號。

記者試圖通過郵箱跟“藍天草地”取得聯絡，截至發稿前，並未受到他的回復。但據“藍天草地”此前跟人的QQ聊天記錄顯示，內向，孝順，欠缺法律常識，愛開玩笑。之所以把此次的病毒命名為“小兔子”，是因為自己戀人的外號叫“兔子”。

病毒樣本類似熊貓燒香

金山毒霸反病毒專家戴光劍昨日根據其留下的病毒下載位址，並對病毒樣本進行了分析。戴光劍表示，‘ 小兔子’病毒與”熊貓燒香“極其類似，病毒可感染除 C盤外其他盤上的所有.exe檔，並將圖示修改為‘小兔子 ’圖表。”

“用戶一旦感染‘小兔子’，將出現電腦速度明顯變慢，系統運行不穩定等症狀。”戴光劍說，雖然該病毒還沒有在互聯網上大肆傳播，但很有可能被其他一些不法分子利用進行一些非法的勾當，所以用戶仍需提高警惕。

上海電腦病毒防範服務中心的反病毒工程師說：“ 這種病毒變種無法識別和查殺，會感染所有尾碼名為ex e、pif、com、src的文件，將‘小兔子’的圖案粘貼上去，還會利用密碼字典破解密碼，自行登錄局域網上的其他電腦，造成大規模擴散。”

病毒製造者呈低齡化

北京江民新科技術有限公司相關負責人表示：“網路犯罪正在呈低齡化趨勢，近年來被逮捕的黑客年齡一般都是在15歲至25歲之間。現在單純以‘炫耀技術’為目的的黑客（灰帽子）也已幾乎不存在，大多被逮捕的黑客都是為牟利而入侵。”

反病毒專家指出，在資訊技術日益發展的今天，如何加強青少年的教育，引導其正確的價值觀已經成為一個值得大家思考的社會問題。

據《刑法》規定，網路犯罪後果嚴重的，將判處5年以下有期徒刑或者拘役；後果特別嚴重的，處5年以上有期徒刑。

病毒播報：新病毒仿『熊貓燒香』

本周一個與『熊貓燒香』非常相似的高危病毒值得特別關注，該病毒名為『ANI蠕蟲(Worm.DlOnlineGames.a)』。

　　本周關注病毒：ANI蠕蟲(Worm.DlOnlineGames.a)

　　警惕程度★★★☆

　　該病毒感染電腦後，會從網上下載多種木馬、後門病毒，使得用戶遊戲等賬號被盜，或者電腦變成被黑客控制的『肉雞』。同時，染毒電腦還會發出大量帶毒郵件，用戶打開這些郵件就可能被病毒感染。同時，該病毒還採用了一個較新的『ANI漏洞』進行傳播，該漏洞存在于WindowsVista、XP等主流作業系統中。

　　專家建議：

　　1、建立良好的安全習慣，不打開可疑郵件和可疑網站；2、安裝專業的殺毒軟件升級到最新版本，並打開即時監控程式；3、安裝個人防火牆軟件，防止其下載其他的病毒及惡意程式。4、關注資訊安全廠商發布的最新資訊，提早防範病毒。5、微軟已經針對ANI漏洞緊急發布了補丁程式，請用戶盡快登錄update.microsoft.com安裝。

　　查殺方法：

　　請廣大用戶及時升級手中的瑞星殺毒軟件2007版或下載版到19.19版本。沒有安裝殺毒軟件的朋友可以登錄online.rising.com.cn使用瑞星在線殺毒清除病毒，同時可撥打反病毒急救電話010-82678800或登錄help.rising.com.cn使用在線專家門診免費尋求幫助。

水羽

TVBS報導，馬英九工作室驚傳駭客入侵，利用工作室成員名義廣發病毒信，惡意癱瘓工作室運作。

　　據悉，馬英九工作室發言人表示，選舉初期出現這種惡質手法，很可能是對手惡意作弄，上午已經前往市刑大報案，希望揪出幕後黑手。

　　據報導，2008選戰還沒白熱化，電腦戰卻已打的火熱，馬英九工作室發言人一早提著電腦前往臺北市刑大報案，他說駭客入侵工作室，廣發病毒信，企圖一步步癱瘓運作。

　　馬英九工作室發言人羅智強表示，病毒信以律師的名義發的，附加一個公務機要費說帖，不能打開這是病毒，虛擬的網址也是正確的，這是以鄭麗文小姐的名義發的。信件會一直跟著時事，不斷跟換主題，但里面都夾病毒，攻擊的目的是很特定，就衝著工作室而來。

Worm@W32.Resik.2

Resik.2 駭蟲藉由USB儲存裝置作為感染及散佈途徑，為Resik新型態駭蟲。

Resik.2 駭蟲是以Recycled資料夾型態存在，執行後，會導致USB裝置無法存取、運作，並且會常駐至電腦中，利用所產生的Autorun.inf，去執行和擴散駭蟲檔案。

基本介紹
病毒名稱 Worm@W32.Resik.2
病毒別名 W32.SillyDC[symantec]
病毒型態 Worm
病毒發現日期 2007/04/17
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：中

Worm@W32.Resik.2 行為描述：

註：在Win95/98/me System 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 System 系統預設值為 C:WinNTSystem32

    *

      病毒執行後，在System產生

      svchost.exe
      _sv_CMD_
      _sv_CMD_.
      _sv_CMD_..
    *

      在USB儲存裝置下產生下列檔案：

      RecycledINFO.exe

      RecycledDriveinfo.exe

      Recycledvoinfo.dll

      autorun.inf

      desktop.ini
    *

      增加下列登錄檔：

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit= "C:WINDOWSsystem32userinit.exe"

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit= "userinit.exe,C:WINDOWSsystemsvchost.exe"

水羽

2007 / 04 / 23

　　安全專家近日指出，利用網站入侵使用者PC的駭客，現在也愈來愈知道如何不讓惡意程式被查到。Web攻擊已愈來愈普遍。根據StopBadware.org的資料，有成千上萬的網站可能植入惡意程式，其中大部份網站是被入侵，然後透過瀏覽器弱點將木馬程式等惡意程式植入用戶PC中。

　　Arbor Networks 資深安全工程師Jose Nazario表示，用於攻擊PC的程式碼，可藏在Flash動畫或自我打散使企圖檢查網頁程式碼的人員難以發覺，其中又以JavaScript為主。一開始攻擊者是利用一般的JavaScript，後來就不一樣了，Nazario說。他已發現一種名為「makemelaugh」的script功能，可植入木馬程式並蒐集銀行資料或是透過社交名媛Paris Hilton的Flash動畫誘使使用者成為傀儡網路的一員。

　　惡意JavaScript可嵌入網頁中，並在使用者不知情情況下開始執行。攻擊者可能誘騙使用者去到他們設立的惡意網站，或是利用稱為跨網站攻擊(cross-site scripting)的弱點侵入受信賴的網站中。要防範惡意JavaScript，使用者雖然可以關閉JavaScript功能，但也因此使許多網站功能無法發揮。另一個方法是使用具有已知不良網站黑名單的工具，像是McAfee的SiteAdvisor或Google的工具列或桌面軟體。

轉貼自：資安人 Information Security　網站

轉http://www.twbbs.net.tw/1759154.html

在今天的病毒中Worm.Delf.fs“代爾夫蠕蟲”變種FS，Backdoor/Codbot.j“代爾夫蠕蟲”變種FS，I-Worm/BBEagle.mo“雛鷹”變種mo，Win32.Troj.Downloader.ho“下載者”變種HO，Win32.Troj.QQPass.dyy“QQ大盜”變種DYY值得關注。

    特別提醒：4月26日（今天）是CIH爆發的日子，中安特別提醒廣大電腦用戶做好防毒工作，並及時進行病毒查殺。專家提醒用戶，針對CIH病毒千萬不要掉以輕心，首先，不要用盜版軟件，堅持使用正版軟件， 打開殺毒軟件實時監控並升級最新病毒庫。其次，對網絡上、光盤和軟盤上的軟件在安裝或使用前一律用殺毒軟件進行檢查，一定要安裝可以自動清除壓縮包內病毒的殺毒軟件。

    一、Worm.Delf.fs（“酷波”變種j）病毒類型：蠕蟲病毒，通過網絡傳播，危險級別：★★★☆，影響系統：WIN 2000/XP/2003。
    Worm.Delf.fs（“酷波”變種j）病毒運行之後，會自動從網站上下載其它的盜號木馬，竊取用戶的隱私文件。同時，該病毒還會下載WinPcap等工具軟件來對局域網發動ARP攻擊，使其它用戶在瀏覽網頁時自動加入一個名為hxxp://4255.biz惡意網址。用戶的計算機訪問該網址後會自動下載病毒並運行。

    二、Backdoor/Codbot.j（“代爾夫蠕蟲”變種FS）病毒類型：後門程序，通過網絡傳播，危險級別：★★，影響系統：Win 9X/ME/NT/2000/XP/2003。
    Backdoor/Codbot.j（“代爾夫蠕蟲”變種FS）該是一個後門，利用被感染計算機上的漏洞進行傳播。“酷波”變種j運行後，自我復制到系統目錄下。修改注冊表，創建服務，實現開機自啟。在TCP 6556端口開啟後門，連接指定站點，偵聽黑客指令，記錄用戶鍵盤和鼠標操作；終止特定的進程；下載遠程文件等。開啟特定端口，利用微軟漏洞進行傳播。

    三、I-Worm/BBEagle.mo（“雛鷹”變種mo）病毒類型：蠕蟲病毒，通過網絡傳播，危險級別：★★，影響系統：Win 9X/ME/NT/2000/XP/2003。
    I-Worm/BBEagle.mo（“雛鷹”變種mo）該病毒是一個利用群發帶毒郵件進行傳播的網絡蠕蟲。“雛鷹”變種mo運行後，在被感染計算機上創建蠕蟲副本。修改注冊表，實現開機自啟。彈出虛假錯誤圖片。利用rootkit技術隱藏自我，防止被查殺。連接指定站點，下載一系列指定的郵箱地址，群發帶毒郵件。終止與安全相關的進程，刪除與安全相關的文件，降低被感染計算機上的安全設置。

    四、Win32.Troj.Downloader.ho（“下載者”變種HO）病毒類型：木馬程序，通過網絡傳播，危險級別：★★，影響系統：Win 9X/ME/NT/2000/XP/2003。
    Win32.Troj.Downloader.ho（“下載者”變種HO）該病毒是一個木馬下載器,當發現受感染電腦的IE可用時,它會自動連接多個惡意站點,下載其他的多個木馬病毒,下載的病毒都是一些盜號木馬病毒,對用戶的網絡虛擬財產構成嚴重的威脅。此外,這次的變種會通過感染電腦的可移動磁盤，達到擴散病毒的目的，有可能造成病毒蔓延的現象，建議用戶提高警惕，捍衛電腦的安全。發作症狀：該病毒運行後，會將自身復制為BinNice.bak,同時釋放一個BinNice.dll病毒文件。注入到系統進程explorer.exe裡,連接到h**p://7y7.us/s**n/csrss.exe等多個惡意站點,進行病毒下載。向可移動磁盤中釋放Ghost.pif和autorun.inf病毒文件，以其來傳播自身。

    五、Win32.Troj.QQPass.dyy（“QQ大盜”變種DYY）病毒類型：木馬程序，通過網絡傳播，危險級別：★★，影響系統：Win 9X/ME/NT/2000/XP/2003。
    Win32.Troj.QQPass.dyy（“QQ大盜”變種DYY）該病毒是“QQ大盜”的惡意改造版,跟之前的“QQ大盜”惡意行為相似,它是針對用戶QQ帳號而來的,它會潛伏在受感染電腦的系統裡,伺機查找QQ的登陸窗口,截取用戶的QQ帳號和密碼信息,將竊取的信息發送給木馬種植者,造成用戶網絡個人財產的損失。此外,它還能強行終止某些殺毒軟件的監控進程,使電腦的安全性能下降,容易受到其他病毒的侵害。發作症狀：該病毒運行後，會釋放wiusvt.exe等多個病毒文件,修改注冊表,實現隨開機自動啟動。結束rfwmain.exe和RavMon.exe等多個殺毒軟件的保護進程。

水羽

Vir@W32.Junkmail

Junkmail 病毒會感染受害電腦特定副檔名的檔案具有嚴重感染行為。

Junkmail 病毒除會感染特定副檔名的檔案，並且透過網路芳鄰進行散佈，受感染的執行檔，不影響原來的功能，但是會先執行病毒功能。

基本介紹
病毒名稱 Vir@W32.Junkmail
病毒別名 W32.Chiton.gen[symantec]
病毒型態 Virus
病毒發現日期 2006/08/15
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：高

Vir@W32.Junkmail 行為描述：

註：Windir代表系統所在目錄，在Win95/98/me系統預設值為 C:windows

在WinNT/2000/XP/2003系統預設值為 C:WinNT

    *

      病毒執行後，在Windir產生

      ExpIorer.exe
    *

      增加下列登錄檔：

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesExpIorer.exe

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesExpIorer.exeSecurity

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExpIorer.exe

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExpIorer.exeSecurity

      HKEY_LOCAL_MACHINESOFTWAREClassescomfileshellopencommand= "ExpIorer "1" *"

      HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand= "ExpIorer "1" *"

      HKEY_LOCAL_MACHINESOFTWAREClassespiffileshellopencommand= "ExpIorer "1" *"
    *

      感染下列副檔名：

      exe

      pif

      com


Vir@W32.Junkmail

Junkmail 病毒會感染受害電腦特定副檔名的檔案具有嚴重感染行為。

Junkmail 病毒除會感染特定副檔名的檔案，並且透過網路芳鄰進行散佈，受感染的執行檔，不影響原來的功能，但是會先執行病毒功能。

基本介紹
病毒名稱 Vir@W32.Junkmail
病毒別名 W32.Chiton.gen[symantec]
病毒型態 Virus
病毒發現日期 2006/08/15
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中
破壞程度：高

Vir@W32.Junkmail 行為描述：

註：Windir代表系統所在目錄，在Win95/98/me系統預設值為 C:windows

在WinNT/2000/XP/2003系統預設值為 C:WinNT

    *

      病毒執行後，在Windir產生

      ExpIorer.exe
    *

      增加下列登錄檔：

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesExpIorer.exe

      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesExpIorer.exeSecurity

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExpIorer.exe

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExpIorer.exeSecurity

      HKEY_LOCAL_MACHINESOFTWAREClassescomfileshellopencommand= "ExpIorer "1" *"

      HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand= "ExpIorer "1" *"

      HKEY_LOCAL_MACHINESOFTWAREClassespiffileshellopencommand= "ExpIorer "1" *"
    *

      感染下列副檔名：

      exe

      pif

      com

水羽

【快訊】  3月31日，瑞星全球反病毒監測網截獲一個與"熊貓燒香"非常相似的高危病毒，命名為"ANI蠕蟲(Worm.DIOnlineGames.a)"。該病毒不光傳播和危害方式與"熊貓燒香"病毒非常相似，還利用了上周末才剛出現的Vista、xp等操作系統的ANI高危漏洞。根據瑞星客戶服務中心的統計，短短24小時內，已接到大量用戶的求助。鑑於該病毒可能會廣泛傳播並且危害較為嚴重，瑞星發出今年第一個"橙色安全警報"(二級)。

瑞星反病毒專家分析，被"ANI蠕蟲"感染的電腦會從網上下載多種木馬、後門病毒，使得用戶遊戲等帳號被盜，或者電腦變成被黑客控制的"肉雞"。同時，染毒電腦還會發出大量帶毒郵件，郵件的題目是："你和誰視頻的時候被拍下的？給你笑死了！"郵件內容為"看你那小樣！我看你是出名了！你看這個地址！你的臉拍的那麼清楚！你變明星了！http://****.microfsot.com/***/134952.htm"，收到郵件的用戶點擊這個網址就會被感染。

瑞星工程師發現，病毒作者使用國內某網站的郵箱散發病毒，並且郵件內容也為中文，因此基本可以確定該病毒為國人編寫。此外，該病毒跟"熊貓燒香"病毒一樣，也會感染網頁文件並加入病毒代碼。如果網站編輯的計算機被該病毒感染，將網頁文件上傳到網站。那麼訪問該網站用戶就會被感染。

更為嚴重的是，"熊貓燒香"利用的是老的系統漏洞，用戶安裝好系統補丁就可以防範；而"ANI蠕蟲"病毒則採用了上周才被發現的ANI漏洞進行傳播，該漏洞存在於Windows Vista、xp等主流操作系統中，目前微軟還沒有提供補丁程序。

針對此惡性病毒，瑞星殺毒軟件已經升級，19.16.60版本以上即可對其進行徹底查殺。瑞星安全專家提醒廣大用戶，除了升級殺毒軟件、打開實時監控以外，上網時還應該打開個人防火牆，阻止病毒自動下載惡意程序。

【快訊】“今天一開機，我電腦上的殺毒軟體就不能運行，QQ、MSN和迅雷也啟動不了，是不是有很厲害的病毒在爆發啊？”6月6日上午，張小姐給本報打來電話，反應自己電腦上的程式無法運行。

    經過瑞星反病毒專家檢查，她的電腦感染了“帕蟲（worm.pabug)”病毒，這種病毒不但會破壞幾十種常用的殺毒軟體，還會使QQ等常用程式無法運行。據介紹，“帕蟲”病毒主要通過MP3（或者U盤）進行傳播，由於現在使用MP3（U盤）交換歌曲和電影文件的用戶非常多，使得該病毒傳播極廣。“帕蟲”病毒目前已有幾十個變種，全國已有八萬多名用戶遭到此病毒的侵害。

    根據瑞星技術部門分析，該病毒採用了多種技術手段來保護自身不被清除，例如，它會終結幾十種常用的殺毒軟體，如果用戶使用google、百度等搜索引擎搜索“病毒”，瀏覽器也會被病毒強制關閉，使得用戶無法取得相關資訊。

    尤為惡劣的是，“帕蟲”病毒還採用了IFEO劫持（windows文件映像劫持）技術，修改註冊表，使QQ醫生、360安全衛士等幾十種常用軟體無法正常運行，從而使得用戶很難手工清除該病毒。

    瑞星反病毒專家介紹說，“帕蟲”病毒會在每個磁碟分區上建立自動運行文件（包括U盤），從而使得通過U盤傳播的概率大大增加。同時，由於每個分區上都有病毒留下的文件，普通用戶即使格式化C盤重裝系統，也無法徹底清除該病毒。

    針對此惡性病毒，瑞星已經提供專殺工具。瑞星用戶只要升級到最新版本，即可徹底防殺；沒有安裝殺毒軟體的用戶，可以免費下載“橙色八月”專殺工具徹底清除該病毒，下載地址：http://it.rising.com.cn/Channels ... 4786729d36873.shtml

[ 本文最後由 TSUBASA672302 於 07-9-21 06:25 PM 編輯 ]