| |
我国已发现Fizzer病毒 认清其真面目
国家计算机病毒应急处理中心通过对互联网的监测,于2003年5月12日通发现一种新型的邮件蠕虫病毒,经分析证实该蠕虫病毒是国外正在流行的“菲滋”(Worm_Fizzer.A)病毒。该病毒的主要特性如下:
病毒名称:“菲滋”(Worm_Fizzer.A)
病毒类型:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP
病毒特征:
病毒通过染毒电子邮件的附件进行传播,并可以通过IRC聊天工具,Kazaa点对点文件共享程序传播,另外,病毒还会记录键盘录入信息,终止反病毒软件的运行。通过自身定义的端口实现远程控制。
1、 通过电子邮件进行传播
通过邮件进行传播时,邮件的主题、内容和附件都不是固定的。病毒从Outlook中的联系人地址和Windows地址簿(WAB)中搜索邮件地址,并向这些地址发送带有病毒附件的电子邮件。染毒邮件的发件人有可能是伪造的电子邮件地址,而并不是真正的发件人地址。附件的扩展名为下列之一:.com, .exe, .pif, .scr。
染毒邮件的实例之一:
主题: Fwd: why?
正文: The peace
附件: desktop.scr
2、 生成病毒文件
一旦染毒附件被运行,病毒在Windows目录下释放病毒文件,其中initbak.dat和iservc.exe都是病毒自身的拷贝,ProgOp.exe为蠕虫部分,iservc.dll用于捕捉键盘的录入信息,而iservc.klg则为键盘录入信息的记录,即病毒获取键盘输入并将其加密存储与文件iservc.klg中。
3、 修改注册表
病毒创建注册表键值,以便病毒能随系统启动而自动运行
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Run 下创建
SystemInit = C:WINDOWSISERVC.EXE
或SystemInit = C:WINNTSISERVC.EXE
病毒用“.txt”的处理程序来注册自身,在此之后,在访问.txt文件的时候,病毒便随之运行。
4、 通过IRC传播
病毒对一些IRC服务器进行ping操作,一旦收到响应,就该服务器的通道建立连接,并等待攻击者的进一步指令。
5、 后门
病毒在81端口运行http服务,从而为攻击者提供远程控制的功能。>
6、 终止反病毒程序的运行
病毒会终止一些特定反病毒软件的运行,从而使得系统失去最基本的防护。 |
|
