本周重點關注病毒:“色情終結者”
CNET中國·PChome.net 類型:投稿 作者: 責編:楊劍鋒 時間:2007-11-06
http://article.pchome.net...97535.html11月5日,金山毒霸反病毒監測中心發布周(11.5-11.11)病毒預警,本周內廣大用戶需高度警惕“色情終結者”(VBS.DNAOrder.aa.35780)。此病毒發作過程中,會搜索各磁盤裏的avi、mpg、rm、rmvb格式視頻文件,如發現其文件名與色情有關,便會將其全部刪除。
金山毒霸反病毒專家戴光劍表示,此病毒通過U盤等儲存器以及網絡傳播。病毒運行後,在%SystemRoot% 目錄和%SystemRoot%System32目錄下生成以當前用戶名命名的vbs腳本文件和ini文件,還會在各磁盤根目錄下生成同樣的vbs腳本文件和autorun.inf文件。這些vbs文件都是病毒的複制品,病毒將其設置爲當用戶雙擊打開盤符或點右鍵選擇資源管理器時運行。同時病毒將自己設置爲txt、hlp、chm、reg等類型文件的關聯程序,當用戶雙擊打開這些類型的文件時,都會執行病毒程序。
戴光劍分析指出,該病毒成功運行後,病毒還會修改注冊表,實現隨係統自啓動。並將隱藏文件和受保護的操作係統文件鎖定爲無法顯示。這樣一來,用戶便無法發現它。而爲了對付安全軟件,病毒運行後會搜索是否有打開的任務管理器、注冊表編輯器、msconfig啓動組清理、命令行提示符、瑞士軍刀注冊表修複工具、360安全衛士,如果有,就將它們強行關閉。
隨後,病毒開始感染用戶電腦上的所有正常的vbs腳本文件,以及以hta、htm、html、asp爲擴展名的網頁文件。有時會彈出消息框,內容爲“您已有超過2000個文件被感染!不過請放心,此病毒很容易被清除!請聯係418465***-_-!”。
據了解,近幾周,木馬感染性病毒異常活躍,本周除“色情終結者”可大量感染到用戶電腦外,用戶還需要警惕“感染蟲下載器45056” (Win32.Troj.Downloader.c.45056)和“老人參”(Win32.Troj.Dropper.ex.4232192)。前者病毒最大的特點在於感染。當病毒成功運行後,會在%system32%下産生兩個病毒文件,分別是tmipo.bat和taimpo.txt,使用 taimpo.bat批處理文件結束“360安全衛士”,使用戶的係統安全性大大降低。“老人參”運行之後,被感染的文件無法使用,且會彈出一個消息框,其內容爲:“我叫‘垃圾參’,是‘人參’的新品種,有很高的營養價值和醫用價值,特別適合愛美的女性朋友,聽說,俺還預防‘非典’哪!”。
