| |
2004.4.26-2004.5.2
病毒预报
国家计算机病毒应急处理中心通过监测,于2004年4月18日发现偷取某网上银行的帐号和密码的木马。该木马会窃取国内某银行的帐号和密码,并将窃取到信息发送到指定的邮箱,有可能给用户带来一定的损失。
国家计算机病毒应急处理中心提醒广大用户,及时升级杀毒软件和个人防火墙,开启实时监控功能,抵御病毒入侵。
国家计算机病毒应急处理中心通过对互联网的监测,于2004年4月20日发现异常的病毒的邮件,经分析证实该病毒为“网络天空”病毒的又一变种Worm_Netsky.Y。该病毒通过邮件传播的蠕虫病毒。当病毒运行时,会生成病毒文件、修改注册表项,开放TCP端口,并在指定时间内向一些网站发动DoS攻击。
病毒名称: Worm_Netsky.Y(“网络天空”病毒变种)
其它英文命名:I-Worm/Netsky.y (江民)
W32/Netsky.Y@MM (McAfee)
WORM_NETSKY.Y (Trend Micro)
I-Worm.Moodown.Y (Kaspersky)
Win32.Netsky.Y (Computer Associates)
W32/Netsky-Y (Sophos)
感染系统:Win9x/WinMe/WinNT/Win200/WinXP/Win2003
病毒长度:19k
病毒特征:
1、生成病毒文件
病毒运行后,在%Windows%目录下生成自身的拷贝,名称为FirewallSvr.exe。还在%Windows%目录下生成经过MIME编码的病毒程序,名成为fuck_you_bagle.txt。
(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT)
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
"FirewallSvr"="%Windir%\FirewallSvr.exe"
3、通过电子邮件进行传播
病毒在被感染用户的系统内搜索多种扩展名的文件,找到电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。
病毒发送的带毒电子邮件格式如下:
主题:Delivery failure notice (ID-<随机数字>)
发件人:<伪造的邮件地址,,具有欺骗性的>
内容:(为下列之一)
--- Mail Part Delivered ---
220 Welcome to
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Exchanger] mx.mt2.kl.<随机字符串>
Exim Status OK.
Delivered message is available.
External message is available.
New message is available.
Partial message is available.
附件:
www.<随机域名>.<随机用户名>.session-<随机数字>.com
4、后门功能
病毒监听TCP的82端口,允许远程攻击者通过该端口发送并执行可执行文件。给系统安全带来隐患。
5、发动DoS攻击
当系统时间在2004年4月28日至30日之间时,病毒会对以下网站发动DoS攻击:
www.educa.ch
www.medinfo.ufl.edu
www.nibis.de
清除该病毒的相关建议:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器??〉进程”,选中正在运行的病毒进程,并终止其运行。
2、注册表的恢复
点击“开始??〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"FirewallSvr"="%Windir%\FirewallSvr.exe"
3、删除病毒释放的文件
点击“开始??〉查找??〉文件和文件夹”,查找文件“FirewallSvr.exe”和“fuck_you_bagle.txt”,并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
截至目前,江民公司、趋势公司已经上报了该病毒的解决方案,并对产品进行了升级。
本周发作:
病毒名称:CIH1.2
病毒类型:文件型病毒
发作日期:4月26日
危害程度:病毒感染Windows 95和Windows 98的EXE文件。26日将尝试用随机的数据重写系统硬盘,并通过破坏Flash BIOS的数据存储对系统进行永久性的破坏,被该病毒破坏后的数据恢复是十分困难。
病毒名称:X97M_Clonar
病毒类型:宏病毒
发作日期:4月30日
危害程度:感染Excle文档,在Window目录下生成文件Diablos.bas,并在30日改变命令条中按钮的大小。
专家提醒:
1、 4月26日是CIH病毒发作的日期,请用户对计算机系统进行彻底清查,根除病毒隐患,避免病毒发作带来重大损失。一旦遭受CIH感染,且发作后破坏已经形成,一定请专业人士帮助恢复,切忌不要反复启动机器或急于格式化,从而给数据的恢复带来麻烦。
2、 “五一”期间上网聊天的朋友也请注意,现在通过Oicq和MSN传播的病毒也日渐增多,在聊天时同样要提高警惕,对网友传送过来的图片、游戏、链接等要谨慎处理,以防被病毒感染或植入木马程序。
3、 各政府部门和企事业单位应在假期前对内部系统进行病毒的清查,同时安排好节日期间的值班和应急人员,保证系统内部的安全。
4、 国家计算机病毒应急处理中心和各防病毒厂家也安排了应急值班,用户如遇到问题,请通过电话或邮件方式联络。
|
|
