6,849
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
回炉重造,学习编程中。。。 2004-02-03
- 打赏
- 举报
病毒,看楼上两位的吧,其实你用google搜一下就知道了:)
kanji 2004-02-02
- 打赏
- 举报
别惹我(Worm.Roron.55.F)病毒档案
--------------------------------------------------------------------------------
www.rising.com.cn 2003-8-28 10:44:00 信息源:瑞星公司
广告
警惕程度:★★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:网络/邮件
依赖系统: WINDOWS 9X/NT/ 2000/XP
病毒介绍:
该病毒会通过写注册表、写分区自启动文件、写系统启动文件三种方面来达到病毒随系统启动的目的,只要硬盘上存在有病毒的文件,用户无需直接运行该病毒,就能自动将病毒执行起来。
该病毒会接管EXE的文件关联,当系统运行任何程序时都会先将病毒执行起来,而该病毒还有干掉国外十几家知名杀毒软件的特性,因此安装了这些杀毒软件的用户只要启动计算机,这些杀毒软件就会被自动干掉。
该病毒还具有很强的网络传播特性。病毒运行时会将自己拷贝到局域网的所有计算机的共享目录之中,然后采用双后缀的技术将自己伪装成多种类型媒体文件和快捷方式的形式,如果用户误因为是媒体文件或快捷方式而点击的话,病毒就会立刻被激活,从而导致整个局域网带毒。
病毒的发现与清除:
1. 病毒运行时会首先释放三个病毒体到系统:DX89AM32.EXE、DESK.EXE、COMMON.EXE,然后释放FAITH.INI文件,最后病毒还会释放几个sys和def文件,名称随机。是病毒的配置文件。用户可以搜索计算机,来查找这些文件,找到后,可以将它们直接删除,如果有些文件无法删除,则可以退到DOS下来做删除操作。
2. 病毒通过三种方式自启动:
·写入注册表项HKLM\Software\Microsoft\Windows\CurrentVersion\Run,在其中建立名称为:“LoadSystem”和“CommonAgent”的病毒自启动键值。
· 如果根目录有文件Autorun.inf ,则病毒将自己写入,以便用户查看分区时病毒感染。
· 修改win.ini的run项,在其中加入病毒的自启动路径。
用户可以按照上面说的,用REGEDIT等注册表编辑工具来删除在注册表中产生的病毒键值,如果用户分区中,如C盘存在有Autorun.inf文件,则最好将这个文件删除,如果确实是用户需要的文件,则用户可以用记事本等文本编辑工具来查看Autorun.inf文件,看其中是否有病毒相关的项,如果有,则可以将它们删除;用户还需要查看系统目录下的WIN.INI文件内容,看其中的启动项是否被替换成病毒的路径,如果有,则将这一项删除。
3. 病毒会修改注册表项设置:exefile\shell\open\command,接管exe文件关联。当用户运行程序时,病毒首先被启动,如果程序名称中包含下列字符串,则病毒拒绝执行该程序,这样这些杀毒软件就会失效:virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、mcafee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kaspersky 、panda,用户要想修改这个关联键值,必须对注册表非常熟悉,否则会出现其它异常情况,用户最好能用一些专业的工具如“超级兔子”来进行修改,或用该病毒的专杀工具来自动将这一键值改回
4. 病毒会遍历内存中的所有进程,发现内存中有上述名称的进程在活动,则直接杀死该进程,使这些正在运行的杀毒软件立刻失效。
5. 病毒会遍历操作系统的所有窗口,发现包含有下列字符串的窗口标题时,病毒就会给这些窗口发送“WM_CLOSE”消息,将这些窗口关闭,因为这些窗口都是杀毒软件的主程序窗口,所以病毒运行后,这些杀毒软件的杀毒界面将无法再显示,以下就是病毒关闭的窗口名称字符串:black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap、avpalarm、f-prot、secure、labs、antivir。
6. 病毒会遍历硬盘中的所有目录,包括局域网中的共享目录与默认共享目录,并释放病毒拷贝,名称随机,文件后缀为以下字符串,病毒产生后缀名为:.pif、.scr、.asf、.mpg,附录中会提供可能的病毒名,
7. 病毒创建注册表exe文件关联项和系统目录的监控线程,当用户手工更改注册表相关设置,或删除系统中的病毒文件时,会被病毒自动恢复。
8. 如果用户的计算机中有mIRC即时通信软件,则病毒会释放自己的ini文件,然后利用这些软件来传播自己,以下是病毒建立的INI文件列表:mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini。
9. 病毒会频繁地搜索标题为“Outlook Express”、“Choose Profile”和“Internet Mail”的窗口,发现后并将其隐藏。这样当病毒使用系统MAPI向外发送病毒邮件时,用户就无法察觉。
10. 病毒会查询本地的邮件服务器设置,然后利用MAPI发送带毒邮件。这个邮件利用了MIME漏洞,只要用户预览自动运行。邮件正文包含下列信息:
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com
%s sent you a Yahoo! Greeting_
support@games.yahoo.com
Yahoo!Tennis.scr
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.
We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.
The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so much,
that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
发现这种内容的邮件时,用户可直接将这些文件删除。
11. 病毒会创建注册表exe文件关联项和系统目录的监控线程,只要用户手工更改设置或删除系统中的病毒文件,病毒就会发觉,然后会自动恢复成原来的状态。
12. 如果有mIRC通信软件,病毒会释放自己的ini文件,利用这些软件传播自己。 以下是病毒释放的病毒文件:Mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini,如果用户安装了mIRC软件,可以检查一下软件目录中是否存在有这些文件,如果有则可能中了该病毒,需要用杀毒软件清除病毒,或重装该软件。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“别惹我(Worm.Roron.55.F)”病毒。为避免用户遭受损失,瑞星公司已于截获该病毒当天就进行了升级,瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.49.11版已可清除此病毒,目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。
如遇到异常情况,可拨打瑞星反病毒急救电话:010-82678800和瑞星紧急救援小组上门服务热线(限北京地区):010-82678866-552或使用瑞星在线杀毒:http://online.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!
瑞星反病毒专家的安全建议:
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。
--------------------------------------------------------------------------------
www.rising.com.cn 2003-8-28 10:44:00 信息源:瑞星公司
广告
警惕程度:★★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:网络/邮件
依赖系统: WINDOWS 9X/NT/ 2000/XP
病毒介绍:
该病毒会通过写注册表、写分区自启动文件、写系统启动文件三种方面来达到病毒随系统启动的目的,只要硬盘上存在有病毒的文件,用户无需直接运行该病毒,就能自动将病毒执行起来。
该病毒会接管EXE的文件关联,当系统运行任何程序时都会先将病毒执行起来,而该病毒还有干掉国外十几家知名杀毒软件的特性,因此安装了这些杀毒软件的用户只要启动计算机,这些杀毒软件就会被自动干掉。
该病毒还具有很强的网络传播特性。病毒运行时会将自己拷贝到局域网的所有计算机的共享目录之中,然后采用双后缀的技术将自己伪装成多种类型媒体文件和快捷方式的形式,如果用户误因为是媒体文件或快捷方式而点击的话,病毒就会立刻被激活,从而导致整个局域网带毒。
病毒的发现与清除:
1. 病毒运行时会首先释放三个病毒体到系统:DX89AM32.EXE、DESK.EXE、COMMON.EXE,然后释放FAITH.INI文件,最后病毒还会释放几个sys和def文件,名称随机。是病毒的配置文件。用户可以搜索计算机,来查找这些文件,找到后,可以将它们直接删除,如果有些文件无法删除,则可以退到DOS下来做删除操作。
2. 病毒通过三种方式自启动:
·写入注册表项HKLM\Software\Microsoft\Windows\CurrentVersion\Run,在其中建立名称为:“LoadSystem”和“CommonAgent”的病毒自启动键值。
· 如果根目录有文件Autorun.inf ,则病毒将自己写入,以便用户查看分区时病毒感染。
· 修改win.ini的run项,在其中加入病毒的自启动路径。
用户可以按照上面说的,用REGEDIT等注册表编辑工具来删除在注册表中产生的病毒键值,如果用户分区中,如C盘存在有Autorun.inf文件,则最好将这个文件删除,如果确实是用户需要的文件,则用户可以用记事本等文本编辑工具来查看Autorun.inf文件,看其中是否有病毒相关的项,如果有,则可以将它们删除;用户还需要查看系统目录下的WIN.INI文件内容,看其中的启动项是否被替换成病毒的路径,如果有,则将这一项删除。
3. 病毒会修改注册表项设置:exefile\shell\open\command,接管exe文件关联。当用户运行程序时,病毒首先被启动,如果程序名称中包含下列字符串,则病毒拒绝执行该程序,这样这些杀毒软件就会失效:virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、mcafee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kaspersky 、panda,用户要想修改这个关联键值,必须对注册表非常熟悉,否则会出现其它异常情况,用户最好能用一些专业的工具如“超级兔子”来进行修改,或用该病毒的专杀工具来自动将这一键值改回
4. 病毒会遍历内存中的所有进程,发现内存中有上述名称的进程在活动,则直接杀死该进程,使这些正在运行的杀毒软件立刻失效。
5. 病毒会遍历操作系统的所有窗口,发现包含有下列字符串的窗口标题时,病毒就会给这些窗口发送“WM_CLOSE”消息,将这些窗口关闭,因为这些窗口都是杀毒软件的主程序窗口,所以病毒运行后,这些杀毒软件的杀毒界面将无法再显示,以下就是病毒关闭的窗口名称字符串:black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap、avpalarm、f-prot、secure、labs、antivir。
6. 病毒会遍历硬盘中的所有目录,包括局域网中的共享目录与默认共享目录,并释放病毒拷贝,名称随机,文件后缀为以下字符串,病毒产生后缀名为:.pif、.scr、.asf、.mpg,附录中会提供可能的病毒名,
7. 病毒创建注册表exe文件关联项和系统目录的监控线程,当用户手工更改注册表相关设置,或删除系统中的病毒文件时,会被病毒自动恢复。
8. 如果用户的计算机中有mIRC即时通信软件,则病毒会释放自己的ini文件,然后利用这些软件来传播自己,以下是病毒建立的INI文件列表:mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini。
9. 病毒会频繁地搜索标题为“Outlook Express”、“Choose Profile”和“Internet Mail”的窗口,发现后并将其隐藏。这样当病毒使用系统MAPI向外发送病毒邮件时,用户就无法察觉。
10. 病毒会查询本地的邮件服务器设置,然后利用MAPI发送带毒邮件。这个邮件利用了MIME漏洞,只要用户预览自动运行。邮件正文包含下列信息:
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com
%s sent you a Yahoo! Greeting_
support@games.yahoo.com
Yahoo!Tennis.scr
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.
We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.
The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so much,
that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
发现这种内容的邮件时,用户可直接将这些文件删除。
11. 病毒会创建注册表exe文件关联项和系统目录的监控线程,只要用户手工更改设置或删除系统中的病毒文件,病毒就会发觉,然后会自动恢复成原来的状态。
12. 如果有mIRC通信软件,病毒会释放自己的ini文件,利用这些软件传播自己。 以下是病毒释放的病毒文件:Mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini,如果用户安装了mIRC软件,可以检查一下软件目录中是否存在有这些文件,如果有则可能中了该病毒,需要用杀毒软件清除病毒,或重装该软件。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“别惹我(Worm.Roron.55.F)”病毒。为避免用户遭受损失,瑞星公司已于截获该病毒当天就进行了升级,瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.49.11版已可清除此病毒,目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。
如遇到异常情况,可拨打瑞星反病毒急救电话:010-82678800和瑞星紧急救援小组上门服务热线(限北京地区):010-82678866-552或使用瑞星在线杀毒:http://online.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!
瑞星反病毒专家的安全建议:
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。
icuc88 2004-02-02
- 打赏
- 举报
http://www.symantec.com/avcenter/venc/data/w32.binghe.html
