瑞星升级报告:16.47.30 版新增 87 个可查杀病毒
<!-- w --><a class="postlink" href="http://www.rising.com.cn">www.rising.com.cn</a><!-- w --> 2004-10-10 18:05:00 信息源:瑞星公司
1.Worm.MSN.Funny破坏方法:vb写的蠕虫,用ASPack2.12加过壳。通过MSN传播。
修改TCP/IP配置文件,将937个网站地址屏蔽,其中包括新浪这样的著名站点。导致用户登
陆这些时都会转向主机222.89.98.219(<!-- w --><a class="postlink" href="http://www.78p.com">www.78p.com</a><!-- w -->),不能正常浏览网页。
将自己拷贝到windows目录下,文件名为Rundll32.exe,再将自己拷贝几份到系统目录下,文件名为IEXPLORER.EXE,explorer.exe。xp以前操作系统还有一个userinit32.exe文件。
修改注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MMSystem" : "c:\winnt\rundll32.exe "c:\winnt\system32\mmsystem.dll"", RunDll32"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"MMSystem" : "c:\winnt\rundll32.exe "c:\winnt\system32\mmsystem.dll"", RunDll32"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
"MMSystem" : "c:\winnt\rundll32.exe "c:\winnt\system32\mmsystem.dll"", RunDll32"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
"MMSystem" : "c:\winnt\rundll32.exe "c:\winnt\system32\mmsystem.dll"", RunDll32"
XP以前操作系统还会修改
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" : "C:\WINNT\system32\userinit32.exe,"
这样病毒会随开机而启动。
几个进程同时运行,形成双进程保护,在任务管理器里很难结束。
对MSN在线好友发送以下信息:
一家新开的酒吧,晚上聚聚,这里有介绍 %url%,记得给我电话
朋友,多注意休息啊,可以到这里放松放松哦,%url%
我们也来俗一把如何,看MM去,%url%,够味!呵呵!
日本人在南京大屠杀的铁证!坚决抵制日货 %url%
对中国威胁最大的十个国家!列表 %url%
我见过最漂亮的视频MM (不看可别后悔), %url%
《中国农民调查》页页血泪,惊动中央 转自网易, %url%
%url%为http://www.78p.com等。
也会直接向好友发送病毒本身,文件名为funny.exe。
有可能把病毒当作图片发送过来,使用户放松警惕。
手工恢复TCP/IP配置文件方法如下:
9x系统,用记事本打开%windows%hosts.sam文件,将包含“222.89.98.219“的字符都删除。
NT/2k/XP系统,用记事本打开%windows%system32\drivers\etc\hosts文件,将包含“222.89.98.219“ 的字符都删除。
-------------------------
用瑞星2004的16.47.30版本可以杀掉此病毒 |
|手机版|希望之光工作论坛
( 京ICP备18037495号 )
发表于 2004-10-10 22:47
楼主