| 国家计算机病毒应急处理中心通过对互联网的监测,于2003年5月18日发现一种新型的电子邮件蠕虫病毒,经分析证实该蠕虫病毒是国外正在流行的“老板公司”变种(Worm_Sobig.B)病毒,该病毒在英国爆发情况较为严重,在我国也已经出现,我们接到了一些用户的求助,应急邮箱中也收到了被感染用户的计算机自动发送的病毒邮件。该病毒的主要特性如下:
截止到今天早晨,国内北京、深圳、上海等地都有用户遭受该病毒的感染,被感染用户在100例左右。
该病毒兼有蠕虫和黑客的功能,并能够通过局域网进行传播,局域网中一旦一台计算机被感染,病毒就会扩散到整个局域网,从而导致网内所有计算机均处于被控的危险状态,系统安全和信息安全收到极大的威胁。也就是说该病毒危害最严重的将会是政府部门和企事业单位的局域网。值得注意的是,由于病毒可以通过对Microsoft
Outlook和Outlook Express中收到的邮件进行回复的形式向外发送病毒邮件,与以往的病毒邮件相比,更具欺骗性和迷惑性。
有关病毒的技术分析报告如下。
一、
感染系统
Windows 95/98/Me/NT/2000/XP
二、
技术特点
病毒名称:“老板公司”变种(Worm_Sobig.B)
病毒类型:蠕虫
病毒长度:52898
感染系统:Windows
95\98 \NT\2000 \ME\XP
病毒特征:
病毒使用Visual C++编写,病毒使用自带的smtp引擎发送电子邮件,它将自身的拷贝发送给其它用户,病毒在具有下列扩展名为.dbx,.eml,.htm,.html,.txt,.wab的文件中搜索地址,将这些地址存入文件hnks.ini,并向他们发送病毒邮件。邮件形式如下:
发件人:support@microsoft.com
主题:(为下列之一)
Approved (Ref: 38446-263)
Cool screensaver
Re: Approved (Ref: 3394-65467)
Re: Movie
Re: My application
Re: My details
Screensaver
Your details
Your password
内容:All information
is in the attached file.
附件:为下列之一,名称不同,但后缀名都为.pif
application.pif
approved.pif
doc_details.pif
movie28.pif
password.pif
ref-394755.pif
Screen_doc.pif
Screen_temp.pif
your_details
病毒运行后,在Windows文件夹下生成自身拷贝,并命名为msccn32.exe,同时创建注册表键值,以便在系统启动时,病毒能随系统启动而运行。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %Windows%\msccn32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %Windows%\msccn32.exe
(%Windows%为Windows文件夹,通常默认安装的路径为C:\Windows
或 C:\WINNT)
病毒还在Windows目录下生成文件msdbrr.ini和hnks.ini
%Windows%\MSDBRR.INI
%Windows%\HNKS.INI
病毒还可以通过网络共享进行传播,它将自身拷贝到以下文件夹中,并通过网络共享进行传播
Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\StartUp
蠕虫从4个Web站点下载文件,通过此种方法进行更新,并有可能在被感染的系统中执行一些操作,例如安装木马程序等。如果系统时间大于2003年5月31日,病毒将停止传播行为,而仅进行下载补充文件的行为。
国家计算机病毒应急处理中心再次提醒广大计算机用户及时升级杀毒软件并启动实时监控功能,关闭不必要的端口,以提高系统的安全性和可靠性,同时留意病毒邮件特征并谨慎收取电子邮件,可疑邮件及时删除。
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网
址:Http://www.antivirus-China.org.cn
电 话:022-66211488/66211489/66211490
传 真:022-66211487
电子邮件:security@tj.cnuninet.net
|
告诉您的位置:
