本周重点关注病毒:“色情终结者”
CNET中国·PChome.net 类型:投稿 作者: 责编:杨剑锋 时间:2007-11-06
http://article.pchome.net...97535.html11月5日,金山毒霸反病毒监测中心发布周(11.5-11.11)病毒预警,本周内广大用户需高度警惕“色情终结者”(VBS.DNAOrder.aa.35780)。此病毒发作过程中,会搜索各磁盘里的avi、mpg、rm、rmvb格式视频文件,如发现其文件名与色情有关,便会将其全部删除。
金山毒霸反病毒专家戴光剑表示,此病毒通过U盘等储存器以及网络传播。病毒运行后,在%SystemRoot% 目录和%SystemRoot%System32目录下生成以当前用户名命名的vbs脚本文件和ini文件,还会在各磁盘根目录下生成同样的vbs脚本文件和autorun.inf文件。这些vbs文件都是病毒的复制品,病毒将其设置为当用户双击打开盘符或点右键选择资源管理器时运行。同时病毒将自己设置为txt、hlp、chm、reg等类型文件的关联程序,当用户双击打开这些类型的文件时,都会执行病毒程序。
戴光剑分析指出,该病毒成功运行后,病毒还会修改注册表,实现随系统自启动。并将隐藏文件和受保护的操作系统文件锁定为无法显示。这样一来,用户便无法发现它。而为了对付安全软件,病毒运行后会搜索是否有打开的任务管理器、注册表编辑器、msconfig启动组清理、命令行提示符、瑞士军刀注册表修复工具、360安全卫士,如果有,就将它们强行关闭。
随后,病毒开始感染用户电脑上的所有正常的vbs脚本文件,以及以hta、htm、html、asp为扩展名的网页文件。有时会弹出消息框,内容为“您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_-!”。
据了解,近几周,木马感染性病毒异常活跃,本周除“色情终结者”可大量感染到用户电脑外,用户还需要警惕“感染虫下载器45056” (Win32.Troj.Downloader.c.45056)和“老人参”(Win32.Troj.Dropper.ex.4232192)。前者病毒最大的特点在于感染。当病毒成功运行后,会在%system32%下产生两个病毒文件,分别是tmipo.bat和taimpo.txt,使用 taimpo.bat批处理文件结束“360安全卫士”,使用户的系统安全性大大降低。“老人参”运行之后,被感染的文件无法使用,且会弹出一个消息框,其内容为:“我叫‘垃圾参’,是‘人参’的新品种,有很高的营养价值和医用价值,特别适合爱美的女性朋友,听说,俺还预防‘非典’哪!”。
