您要打印的文件是:本周病毒警告

本周病毒警告

作者:佚名    转贴自:不详    点击数:4505


毒名称:贝革热新变种(Worm.Bbeagle.Q)
病毒别名:Worm.BBeagle.N (瑞星)
                  PE_BAGLE.Q(Trend)
                  W32/Bagle.n@MM (McAfee)
                  Bagle.N(F-Secure)
                  Win32.Bagle.N(Computer Associates)
                  W32/Bagle-N (Sophos)
                  W32.Beagle.N@mm (Symantec)
病毒类型:蠕虫
受影响系统:Win9x/WinMe/WinNT/Win2000      
                  /WinXP/Win2003
病毒特性:

    该病毒和其早先的变种一样,可以感染文件,并利用电子邮件进行传播。病毒所发邮件主题、正文和附件名都是不固定的。 

1、 生成病毒文件
    病毒运行后,会将自身拷贝到系统目录%system%下,文件名为:DIRECT.EXE或DIRECT.EXEOPEN。
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)

2、 修改注册表项
    病毒添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加
directs.exe = %System%\directs.exe

3、 通过电子邮件传播
    病毒通过发送不含附件的邮件进行传播。病毒在邮件信体中插入一个链接,一旦打开该邮件,就会自动下载一个HTML文件。这个HTML文件会在Windows系统文件夹中生成一个名为Q.VBS的Visual Basic脚本文件。
另一方面,病毒将用一个随机命名的文件(通常是用JPEG作为扩展名)下载到Windows系统文件夹中,然后执行,而后将被保存为SM.EXE。
    病毒发送的带毒电子邮件的主题、内容都是不固定的,同时该变种的内容较多,邮件内容由多个部分组合而成,可能为几部分字符串的任意组合。病毒会避免向含有特定字符串的地址发送自身的拷贝。

4、 通过网络共享进行传播
    病毒搜索包含字符串shar 的文件夹中,在找到的文件夹下生成病毒文件的副本,并通过网络共享进行传播,病毒文件名字也是不定的。

5、 后门能力
    病毒监听2556端口,接受一些客户端传来的特定命令,病毒还监听81端口,向连接上来的客户端发送一定的脚本文件。

6、终止进程
    病毒会终止很多进程,来阻止和扰乱反病毒软件和防火墙的运行和升级,使得用户的反病毒软件无法处理最新病毒。

    用户一定要了解该病毒的主要特征,遇到此类邮件立即删除,千万不要打开邮件的附件,避免病毒的感染和进一步的传播。

    目前,金山、瑞星、趋势公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒



手工清除该病毒的相关操作:
1、终止病毒进程
    在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择任务管理器--〉进程,选中正在运行的进程,并终止其运行。 

2、注册表的恢复
    点击开始--〉运行,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的directs.exe = %System%\directs.exe

3、删除病毒释放的文件
    点击开始--〉查找--〉文件和文件夹,查找文件DIRECT.EXE和DIRECT.EXEOPEN,并将找到的文件删除。

4、运行杀毒软件,对系统进行全面的病毒查杀

    目前,金山、瑞星和趋势公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。

本周发作: 

病毒名称:里拉(Worm_Livra.A)
病毒类型:蠕虫病毒
发作日期:3月24日
危害程度:在24日,病毒会打开网页
http://www.avril-lavigne.com,并在屏幕上显示图形和文字。

病毒名称:生日快乐(Troj_YerHS)
病毒类型:特洛伊木马
发作日期:3月25日
危害程度:3月25日病毒会弹出一个对话框,对话框的标题为 You are my Best Friend(你是我最好的朋友),内容为Happy Birthday Dear(亲爱的,生日快乐)。

病毒名称:WM_Tamago.A
病毒类型:宏病毒
发作日期:3月26日
危害程度:在26日打开或关闭一个Word文档时,病毒会删除C盘中的所有文件,并会在屏幕上显示包含如下内容的对话框:- TamAGoXi's NoTe X EtERnAl LoVE 2 mY LitTlE gIrl Gi

专家提醒:

1、 在对系统进行杀毒之前,先备份重要的数据文件。即使这些文件已经带毒,万一杀毒失败后还有机会将计算机恢复原貌,然后再使用杀毒软件对数据文件进行修复。

2、 目前,很多病毒都可以通过网络中的共享文件夹进行传播,所以计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行漏洞的修补以及病毒的检测和清除,从而避免病毒大范围传播,造成更严重的危害。

3、 有些病毒发作以后,会破坏Windows的一些关键文件,导致无法在Windows下运行杀毒软件进行病毒的清除,所以应该制作一张DOS环境下的杀毒软件,作为应对措施,进行杀毒。