北京信息安全中心毒霸联合发布15日热门病毒

北京信息安全中心毒霸联合发布15日热门病毒

2004年02月15日11:44:47　金山毒霸安全资讯网　

　　北京信息安全测评中心、金山毒霸联合发布2004年2月15日热门病毒

　　据金山毒霸反病毒实验室介绍，今日提醒用户注意以下病毒：

　　“冲击波克星”变种（Worm.WelChia.b)，蠕虫病毒。该病毒在网络中通过Windows的系统漏洞传播，会在被感染的机器上留下后门，并下载Windows的相关补丁为系统安装，但是对于日文系统，将打开一个保存在本地的记录了一些日本发动侵华战争的标志性日期。该病毒的存在，大大影响了计算机的稳定性和安全性，对信息安全赵成很大的隐患。以下是病毒的详请：

　　病毒信息：

　　病毒名称: Worm.WelChia.b
　　中文名称: “冲击波克星”变种
　　威胁级别: 3C
　　病毒类型: 蠕虫
　　受影响系统: Win9x/Me/NT/2000/XP/2003

　　技术特点：

　　· 在注册表中添加以下键值：
　　　 1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
　　　 ------添加了该键后，每当系统启动时，该病毒就能以服务的形式运行
　　　 Type = dword:00000010
　　　 Start = dword:00000002
　　　 ErrorControl = dword:00000000
　　　 ImagePath
　　　 DisplayName = "随机生成的值"
　　　 ObjectName = "LocalSystem"
　　　 Description = "Maintains an up-to-date list of computers on your network and
　　　 supplies the list to programs that request it."

　　　 DisplayName由三组字符串组成：
　　　 %字符串1% %字符串2% %字符串3%
　　　每次会分别从每组字符串中随机取出一个字符串来组成一个完整的名字

　　　字符串1：
　　　 Security
　　　 Remote
　　　 Routing
　　　 Performance
　　　 Network
　　　 License
　　　 Internet
　　　 System
　　　 Browser

　　　字符串2：
　　　 Manager
　　　 Procedure
　　　 Accounts
　　　 Event
　　　 Logging

　　　字符串3:
　　　 Sharing
　　　 Messaging
　　　 Client
　　　 Provider

　　　 2) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
　　　　 \Security Security ；

　　· 如果以下注册表键值存在，该病毒会将其删除：
　　　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ；

　　· 如果以下键值被MYDOOM病毒修改了，该病毒也会将它用WEBCHECK.DLL覆盖；

　　· 该病毒会将其自身拷贝在%System32%\drivers目录下，文件名为：SVCHOST.EXE；

　　· 如果系统不是日文，那么该病毒不会对系统造成什么危害，反而会为系统打上相关的补丁：
　　　 ·http://download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-
　　　　3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe

　　　 ·http://download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-
　　　　2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe

　　　 ·http://download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-
　　　　a34035dc181a/WindowsXP-KB828035-x86-ENU.exe

　　　 ·http://download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-
　　　　70087ccad56c/Windows2000-KB828749-x86-CHS.exe

　　　 ·http://download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-
　　　　c26de0929513/Windows2000-KB828749-x86-KOR.exe

　　　 ·http://download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-
　　　　3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe ；

　　· 如果为日文系统，那么该病毒会从注册表Virtual Roots及IIS Help folders中读取路径，并尝试用病毒体内带的一个网页文件替换此路径下的文件。该网页的截图见下图：

　　解决方案:

　　· 使将毒霸升级到2月12日版本进行全盘查毒。