[其他]：提前告诉你六月份可能爆发的一些病毒

ctiger

几乎大部分类型的病毒都在六月粉墨登场，其中包括蠕虫病毒、变形病毒、宏病毒、特洛伊木马、以及脚本病毒。蠕虫I-Worm/FireBurn利用Outlook的漏洞自动执行，而危险的变形病毒 Win32/Champ则在感染可执行文件的同时也将该文件彻底破坏，即使求助于专业的数据恢复公司也无济于事,以上两种病毒应引起用户的足够重视。宏病毒自从97年大规模暴发以来，一直象百足之虫，死而不僵，好在如KV2003等杀毒软件都早已具备了实时监控宏病毒的功能，每次打开OFFICE文档时都会自动扫描过滤，因此六月份暴发的病毒虽然仍以宏病毒居多，却也并不可怕.江民杀毒王单机版用户，平时只需及时升级更新KV江民杀毒王2003病毒库，日常使用电脑时将六套实时监控系统打开，就可有效地将病毒杀死在电脑系统之外。

==========================================================================
1. I-Worm/FireBurn

这个蠕虫在6月1日发作, 它通过e-mail邮件附件中的VBS文件传播
它使用了 MS Outlook的漏洞自动执行. 还能够通过IRC客户端传播
到IRC频道中的其他用户电脑上.

当蠕虫被激活时, 他把自己安装到系统中,并且在系统目录下产生
名称为 RUNDLL32.VBS 文件, 修改注册表

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MSrundll32 = rundll32.vbs

然后在每次开机时蠕虫取得控制权

这个蠕虫通过邮件传播,它调用 MS Outlook, 安照地址簿中的所有地址发送自身

标题: Hi, how are you?
正文: Hi, look at that nice Pic attached !
Watching it is a must ;)
cu later...
The attached file name is randomly selected from eight variants:

附件：Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs

=================================================================================

2. Win32/Champ

这是一个危险的win32变形病毒，不驻留内存。 他感染 PE 可执行文件，
因为它的感染机制不完善，不少文件在感染后被破坏了, 由于重要信息丢失,
这些破坏的文件无法进行修复。

在每个偶数月的第一天(二月,四月,六月等)病毒生成500个垃圾文件到系统
所在盘符下的三个目录: Windows 目录, Windows 系统 directory 和 根目录

在感染文件时,病毒搜索当前目录下的PE文件,加密自身,然后写入被感染的文件的尾部,
为了取得控制权,病毒修改了程序入口.

病毒通过加查文件名称逃避一些查毒软件,如:
SCAN*, DRWE*, PAVW*, AVP3*, AVP1*, NOD3*, NOD等
病毒还会删除这些防毒软件的病毒特征数据文件.

病毒内包含一些文字:
LethalMind.Champagne releaseed the 22th of March 2003.
Greetings to 29A, SLAM, Darkman, Benny, Pockets, Rod, Mist,
Thermo, Mdrg and all who have helped me. Je t'aime Laurence !

=====================================================================================
3. Macro/Excel.Emperor

这是一个感染 Excel 的宏病毒. 包括一个命名为"Emperor"的模块,有五条宏命令:

"Emperor": Auto_Open, keyplus, check_file, write_virus, run_virus.

它有一个变种：
"Emperor.b": Auto_Close, CheckFile, WriteVirus, ScreenTool, MenuDelete.

在打开关闭时, Excel执行 Auto_Open (或Auto_Close)函数. 感染文件并且设置
一个4位数字的密码,在6月2日病毒把所有的后台的窗口显示出来.

病毒禁用一些菜单项: 查看/工具栏, 格式化/表单, 模块/编辑/删除, 工具/菜单编辑, 工具/保护

=======================================================================================
4. Trojan/Win32.Filecoder


这是一个特洛伊木马,他会换名加密文件到子目录或网络盘,
自身使用UPX压缩,压缩后的尺寸是 137 KB; 解压后的尺寸是 353 KB.
这个木马会发送邮件,自称是一个"非常有用的工具".
木马将它自身安装到 WINDOWS\system\NTFS.exe 并且修改系统的自动执行注册表:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"FsystemTracer"="C:\\WINDOWS\\system\\NTFS.exe"

木马然后修改系统的执行机制,注册自身,当打开EXE文件时,木马首先执行,

木马查找所有的文件和子目录,发现exe文件产生名为
"EXEADDED" + 老的文件名
的木马

然后把文件内容加密,换名为
"FILEISENCODED" + 老文件名

木马在6月4日发作.破坏50个文件,不能执行.

=========================================================================================

5. Macro/Excel.Dado


这是一个感染 Excel 的宏病毒. 包括五个宏命令:
auto_abrir, auto_cerrar, infectar, vv1, and contamina.
这个病毒通过创建模版PERSONAL.XLM 感染系统, 模版文件放在
Excel启动目录里. 为了感染其他文件, 这个病毒挂接了活动例程,
直到关闭文件时,病毒才把自身真实写入被感染目标,是系统的自动
报警信息失效.

这个病毒根据它内部的宏里的信息命名:Dado Error IrA terminar

在6月6日(周五)的16:30, 病毒显示如下的窗口:
ííí GRACIAS A DIOS ES VIERNES !!!
FAVOR DE APAGAR SU COMPUTADOR Y QUE TENGA UN BUEN FIN DE SEMANA

===========================================================================
6. Macro.Excel.SW

这是一个感染 Excel 的宏病毒. 有一个命名为"sw"的模块包括三个函数:
Auto_Open, Auto_Close, no.
当打开感染的文档时, Excel 自动执行"auto_open", 病毒得到控制.
接着 "auto_open" 重定向"no" 函数来打开文件. 在下次打开文件时，
病毒传播模块开始工作，感染下一个文件

这个病毒删除了菜单中的 “工具/宏”，“文件/宏”“查看/工具栏”,
在6月8日(周日),病毒发作,显示一个对话框,内容是:

Ha! Ha! Ha! Idiot ! ! !
Today is rest day!
Why do you work so hard?
All work and no play make you a dull boy!
Come on! Let's go out and have some fun!

=================================================================================
7. WinScript/Rabbit

这是一个使用Windows脚本语言编写的病毒, 内容比较简单,只有10 条命令,
所作的工作是搜索其他的脚本文件并且感染它们. 开始他使用DOS的外壳命令
查找文件感染所有的以VBS为扩展名的文件, 然后使用FSO(File System Object)
定位和感染所有的以JS为扩展名的文件. 这个病毒有个BUG:当他在浏览器里执行
起来时,他会感染浏览器缓冲里的所有文件,并且把他们显示到桌面(desktop)上,
然后用户的桌面上充满了无数的图标,

在6月15日, 病毒创建一个"CB.URL"或 "The CodeBreakers.URL" 名称的文件,
内容指向 "http://www.codebreakers.org",并打开这个网站,显示一个对话框,
内容是:

"Rabbit.a":

=======================================================================================
8. Macro/Word.Zero

这是一个加密的宏病毒，它包括九个宏的名字为 ：

dateischlie?en, dokumentschlie?en, dok, dsu, wrd, extrasmakro,
dateispeichern, dateidokvorlagen, dateispeichernunter

在6月22日它显示一个窗口，其中的内容是：
Lisa, ich liebe dich!

=====================================================================================
9. Win32/VCell


这是一个不太危险的win32变形病毒，不驻留内存。
他自动搜索但前路径和父目录下的PE可执行文件，
然后把自身感染到找到的文件尾部。

在6月30日，这个病毒发作，并显示以下信息

W32/Cell Virus
My evolution is complete
Cell is born anew into the Win OS
why? because youll laugh
why? because Cell is in them
under your nose i have made more akin to me!

　　长期以来，我国占计算机用户半数以上的DIY攒机一簇的防病毒意识普遍淡薄，这主要是因为DIY用户都有着一定的计算机基础知识，这反而让他们对病毒掉以轻心，从而给病毒入侵打开了方便之门.于是，由于病毒破坏，一星期格式化几次硬盘的DIY用户大有人在。江民针对此类用户，即将隆重推出KV江民杀毒王2003装机专用版，以增强我国DIY用户电脑安全存在的薄弱环节。

　对于企业用户来说，单一的防护无法确保网络的整体安全。KV江民杀毒王网络版可以对全网用户进行统一的远程管理、设置、控制、升级、病毒查杀等，使网络管理变的轻松起来。KV江民杀毒王网络版为企业提供了一整套完善的安全解决方案，为企业的网络安全提供了坚实的保障。正在火爆进行的阳光行动之999元的小企业版隆重推出，全国限售2000套，基本配置为1个控制中心，1个服务器端，20个客户端，可扩容至50个客户端。KV江民杀毒王网络版在最新的中国软件评测中心国内外九款网络版杀毒软件评测中，以其高度的易用性能成为中小企业首选产品，并获得最佳性价比奖。应用KV江民杀毒王网络版，中小企业无须设置专职网管员，只需普通员工就可操作由KV　FOR　NET布署的全网整体防杀系统，轻松自如，而且通过合理配置，即便控制中心无人值守，也可自动实现全网统一查杀及升级等日常病毒防范工作。

——摘自：上海热线

yql369963

谢谢长老的提醒，确实要时时警惕病毒！

Last_Song

喝喝，要注意了

hwjchina

是要注意，我那服务器就老断线，不知是什么病毒还是别的缘故。