【www.hzclsc.cn--热门资讯】

> 　　金山毒霸报道：8月16日，金山毒霸反病毒试验室应急处理中心又领先截获一蠕虫病毒，发现其行为和“MYDOOM”极为相似，因此命名为“MYDOOM变种Q”(Worm.Mydoom.q)。根据金山毒霸监测网的跟踪，该病毒在日、韩已有大量发作，并已经传入国内，大量的邮件服务器已经收到该病毒发送的大量病毒邮件。为此，金山毒霸为防止该病毒更大面积的传播，于本日发布该病毒的“三级危险”警报，请各位广大用户提严防该病毒的侵害。



　　以下是该病毒的详情：



　　病毒信息



　　病毒名称:Worm.Mydoom.q



　　威胁级别:三级



　　病毒别名:



　　I-Worm.Mydoom.q[AVP]



　　WORM_RATOS.A[趋势]



　　病毒类型:蠕虫



　　受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003



　　病毒危害



　　A、大量发送病毒邮件，浪费网络和系统资源；大量病毒垃圾邮件可能造成中小型邮件服务器极不稳定，甚致崩溃的现象；



　　B、自动从网络中下载后门木马，并立即执行。



　　发作现象



　　通过以下注册表键值函获得，SMTP地址



　　HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts



　　"SMTP Email Address"



　　HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts



　　"SMTP Email Address"



　　在如下后缀名文件中搜索邮件地址.htm.sht .php .asp .dbx .tbb .adb .wab .pl



　　如果搜索的邮件地址含有以下字符"syma"



　　"icrosof"



　　"msn."



　　"hotmail"



　　"panda"



　　"sopho"



　　"borlan"



　　"inpris"



　　"example"



　　"mydomai"



　　"nodomai"



　　"ruslis"



　　".gov"



　　"gov."



　　".mil"



　　"foo."



　　"unix"



　　"math"



　　"bsd"



　　"mit.e"



　　"gnu"



　　"fsf."



　　"ibm.com"



　　"google"



　　"kernel"



　　"linux"



　　"fido"



　　"usenet"



　　"iana"



　　"ietf"



　　"rfc-ed"



　　"sendmail"



　　"arin."



　　"ripe."



　　"isi.e"



　　"isc.o"



　　"secur"



　　"acketst"



　　"pgp"



　　"tanford.e"



　　"utgers.ed"



　　"mozilla"



　　"icrosoft"



　　"support"



　　"ntivi"



　　"unix"



　　"bsd"



　　"linux"



　　"listserv"



　　"certific"



　　"google"



　　"accoun"



　　"abuse"



　　"upport"



　　"www"



　　则不发送给该地址



　　邮件发信人，为如下之一："alex"



　　"michael"



　　"james"



　　"mike"



　　"kevin"



　　"david"



　　"george"



　　"sam"



　　"andrew"



　　"jose"



　　"leo"



　　"maria"



　　"jim"



　　"brian"



　　"serg"



　　"mary"



　　"ray"



　　"tom"



　　"peter"



　　"robert"



　　"bob"



　　"jane"



　　"joe"



　　"dan"



　　"dave"



　　"matt"



　　"steve"



　　"smith"



　　"stan"



　　"bill"



　　"bob"



　　"jack"



　　"fred"



　　"ted"



　　"adam"



　　"brent"



　　"alice"



　　"anna"



　　"brenda"



　　"claudia"



　　"debby"



　　"helen"



　　"jerry"



　　"jimmy"



　　"julie"



　　"linda"



　　"sandra"



　　发件域名为如下之一：



　　t-online.de



　　mail.com



　　yahoo.com



　　hotmail.com



　　从HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager读到的域名



　　邮件主题为： photos



　　邮件内容为: LOL!;))))



　　病毒附件名: photos_arc.exe



　　2004年8月20日21点后自动停止运行



　　技术特点



　　A、将自身复制到：



　　%Windows%\rasor32a.dll



　　%System%\winpsd.exe



　　B、在注册表主键：



　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run



　　添加如下键值："winpsd" = "%System%\winpsd.exe"



　　C、在注册表主键：



　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer



　　添加如下键名："InstaledFlashhMX""="1"



　　如果该键名已存在，表示计算机已经感染，病毒不会再运行。



　　D、创建互斥量：43jfds93872



　　E、从



　　www.ricolour.com/ispy.1.jpg



　　www.ricolour.com/coco3.jpg



　　www.ricolour.com/guestbook/temp/temp587.gif



　　zenandjce.com/guestbook/temp/temp728.gif



　　下载后门程序winvpn32.exe(Win32.Hack.Surila.g)并运行该后门。



　　解决方案



　　A、请使用金山毒霸2004年8月16日的病毒库可完全处理该病毒；



　　B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭；



　　C、开启金山毒霸病毒防火墙可防止病毒入侵。



　　安全建议



　　A、 建立良好的安全习惯。对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理软件处理的文件，这些才能确保您的计算机更安全。



　　B、 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除他们，就能大大减少被攻击的可能性。



　　C、 经常升级安全补丁。大多数网络病毒是通过系统安全漏洞进行传播的，像蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，防患于未然。



　　D、 使用复杂的密码保护。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。



　　E、 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其他计算机。



　　F、用户还应该安装个人防火墙软件进行防黑。由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重，许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。

本文来源：http://www.hzclsc.cn/news/13476.html