金山反病毒20041217_日报
北京信息安全测评中心、金山毒霸联合发布2004年12月17日热门病毒。
今日提醒用户特别注意以下病毒:“恶魔”(Win32.Hack.Evil)和“红丝带变种F”(Worm.Redesi.f)。
“恶魔”黑客工具,该病毒会将自己复制到系统的多个目录中,病毒运用了多种常用的方法获得运行权。一旦用户中了此病毒,病毒就会破坏用户的一些数据,并允许黑客远程非法操纵被感染的机器。
“红丝带变种F”蠕虫病毒,该蠕虫通过电子邮件和mIRC传播,该病毒发作的时候会弹出一个Windows更新成功的消息框来欺骗用户,并用极具诱惑力的邮件诱使用户打开,从而使更多的用户机器感染该病毒。
一、“恶魔”(Win32.Hack.Evil) 威胁级别:★★
据金山毒霸反病毒工程师分析,该病毒会将自己复制到系统的多个目录中,病毒运用了多种常用的方法获得运行权,并在每个可写的逻辑磁盘的根目录生成autorun.inf文件,每次用户打开逻辑磁盘的时候病毒就悄悄地自动运行了。病毒还将自己加载到注册表的启动项,每次开机都将运行病毒,并修改文本文件的关联程序指向自身,这样用户每次打开文本文件的时候病毒又悄悄运行起来的。然后会关闭Windows 任务管理器,注册表编辑器,进程查看器,Excel应用程序,Word应用程序,包含字符串“play”和“.exe”的程序,命令行窗口程序。该病毒将导致用户辛辛苦苦编辑的Word文档,Excel表格瞬间丢失,用户不能用Windows 任务管理器关闭它,用户不能编辑注册表,用户不能打开命令行窗口,还不能运行带有“play”的软件。
金山毒霸反病毒专家建议用户:请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。
二、“红丝带变种F”(Worm.Redesi.f) 威胁级别:★★
据金山毒霸反病毒工程师介绍,这是一个通过电子邮件和mIRC传播的蠕虫病毒。该病毒发作的时候会弹出一个Windows更新成功的消息框来欺骗用户,并将病毒的五个副本拷贝到C盘根目录下,在注册表中添加启动项,实现病毒的开机自启动。病毒还会向C:\autoexec.bat中写入二条批处理命令,一条显示“With a fool no season spend, or be counted as his freind.”,另一条则是格式化C盘。通过更改mIRC的脚本配置文件,使得mIRC系统与病毒文件建立联系,扩展病毒的传播途径。病毒还会生成一个html文件C:\inetpub\wwwroot\default.htm,当用户打开该页面的时候,就会打开病毒文件。该病毒在Outlook Express的地址薄里面收集邮件地址,再以Microsoft的名义将病毒做为附件发送出去,该邮件极具欺骗性,用户很可能会受骗而去打开附件,从而感染该病毒。
金山毒霸反病毒专家提醒用户:防止邮件病毒最好方法是不要轻易打开带附件的陌生邮件,如果一定要打开,请注意使用反病毒软件检测后再打开。注意定时升级杀毒软件到最新版本,随时打开邮件监控功能,养成良好的安全防范意识。
金山毒霸反病毒工程师提醒您:请升级毒霸到2004年12月17日的病毒库可完全处理该病毒。如没有安装金山毒霸,可以登录到 http://online.kingsoft.com/ 使用金山毒霸的在线查毒或金山毒霸下载版来防止该病毒的入侵。