|
“大无极变种D(Worm.SoBig.d)”病毒档案
大无极变种D(Worm.SoBig.d)病毒于6月19日被瑞星全球反病毒监测网截获,该变种是大无极病毒家族的第4代成员,在病毒编写技术上虽然同上几代病毒区别不大,但鉴于大无极变种B版和C版等变种已经在网络上小范围泛滥,如果不及时防范,该变种病毒很可能会使系统再次面临被病毒感染的威胁。
病毒特性:
一、拷贝自身到windows目录
病毒会将自身拷贝到%Windir%目录中(默认为:c:\windows或c:\winnt),并命名为: Cftrb32.exe,然后建立两个配置文件: dftrn32.dat 、rssp32.dat。
二、 修改注册表自启动。
病毒运行时会修改注册表的自启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中添加一个名为:'SFtrb Service',内容为:'%Windir%\cftrb32.exe'的键值,当系统重启时,病毒便会自动运行。
三、感染局域网中的计算机
当计算机连接在网络中时,病毒便会通过计算机连接,将自身拷贝到局域网中的其它计算机中的:Windows\All Users\Start Menu\Programs\StartUp 目录和Documents and Settings\All Users\Start Menu\Programs\Startup目录,当局域网中被感染的计算机重启时,病毒便会自动运行,在局域网中的其它计算机中激活。
四、通过邮件传播
病毒运行时还会搜索计算机中的.wab 、.dbx 、.htm 、.html 、.eml 、.txt类型的文件,在其中寻找有效的邮件地址,找到后,便生成病毒邮件,向外大量发送。
病毒邮件的标题为以下几种可能:
Re: Documents
Re: App. 00347545-002
Re: Movies
Application Ref: 456003
Re: Your Application (Ref: 003844)
Re: Screensaver
Re: Accepted
Your Application
病毒邮件的附件为以下几种可能:
Document.pif
app003475.pif
movies.pif
ref_456.pif
Application844.pif
Screensaver.scr
Accepted.pif
Applications.pif
Application.pif
如遇到异常情况,请用户赶紧升级手中的瑞星杀毒软件2003版或使用瑞星在线杀毒:http://online.rising.com.cn/在第一时间内清除该病毒,如果用户不方便出门,还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒,也可以随时拨打瑞星反病毒急救电话:010-82678800进行咨询,瑞星反病毒专家将为您提供全方位的技术支持与服务!
|
