本周计算机病毒预报（红色警报）

thinkerboy

本周计算机病毒预报
（2003年9月9日至2003年9月15日）

病毒名称：Worm.MSBlast.F （“冲击波”病毒最新变种）
危害程度：中
受影响的系统: Windows NT,  Windows 2000, Windows XP, Windows Me
未受影响的系统: Windows 3.x, Windows 95, Windows 98, Macintosh, Unix, Linux
病毒危害：
1.        篡改系统注册表
2.        生成病毒文件
3.        接受远端遥控指令
4.        干扰系统正常运行
5.        向外发送大量探测攻击性数据
6.        造成系统服务异常或导致系统反复自动重启
感染形式：
该“冲击波”最新变种仍然利用RPC漏洞进行传播，只影响未打上RPC漏洞补丁的WinNT/Win2000/WinXP/Win2003系统。此变种和“冲击波”(Worm.msBlast)具有同样的危害和传染性，会造成系统不断重启、应用程序使用不正常、网速变慢等不良影响。本次变种仍然是采用修改病毒文件名和改变字符特征的方式来躲过反病毒软件的查杀，从而继续入侵未打上RPC漏洞补丁的WinNT/Win2000/WinXP/Win2003系统。
改变种主要的改动如下：
1、病毒的文件名为：enbiei.exe；
2、将病毒体内原讽刺微软的语句改为：What You Should Know About the Blaster Worm and Its Variants."；
3、将对"windowsupdate.com"进行拒绝服式务攻击（DoS攻击）改为对"tuiasi.ro"拒绝服务式攻击（DoS攻击）；
4、注册表中启动项添加的键值改为
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"www.hidro.4t.com"="enbiei.exe"
预防和清除：
KILL安全胄甲、熊猫杀毒以及天恒安防当前版本即可防御或清除该病毒。
也可使用熊猫软件公司提供的免费在线杀毒工具ActiveScan 进行检查清除。
http://www.pandasoftware.com/activescan/activescan.asp?language=2&Country=63&artner=1&Ref=EN-PR-AS-107
其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。


病毒名称： I-Worm.AutuFairy/ I-Worm.AutuFairy.b（“秋天的童话”病毒及其变种）
危害程度：中
受影响的系统： Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影响的系统： Windows 3.x, Macintosh, Unix, Linux
病毒危害：
1.        篡改系统注册表
2.        修改系统文件
3.        生成病毒文件
4.        发送病毒电子邮件
5.        通过网络共享进行传播
感染形式：
这是一个恶意蠕虫病毒，以纪念9.18事变为目的，采用发送病毒邮件的方式进行传播。
该蠕虫用“秋天的童话”做为邮件主题，邮件内容为：“曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......”，附件既为病毒体。会尝试格试化硬盘，或使计算机不能正尝启动。
病毒还会尝试使用指定的内容覆盖所有的asp、shtml、htm、html文件，造成计算机数据的丢失。病毒体内含有一些比较激进的政治言论。
中毒之后的现象主要为以下几种：
1、在C:\Windows\System\下生成%ff.exe、(未设键值).exe文件。在C:\Windows\Temporary Internet Files目录下生成Islov .jpg.exe
2、添加HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
@="(未设置键值)"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
@="%ff"
修改：
[HKEY_CLASSES_ROOT\inifile\shell\open\command]
@="C:\WINDOWS\Temporary Internet Files\Myphoto?.jpg.exe %1"
注意该病毒不是向启动项RUN里添加键值，而是修改RUN项的默认值来达到自启动的目的。
3、病毒会发送带毒邮件给OE中的联系人。
修改C:\Windows\SAMPLES\WSH\Network.vbs文件为病毒的发信模块。如果发信模块启动，将向OutLook地址本中的前50个人发送带毒邮件，邮件的主题是：“秋天的童话”，邮件的内容是：“曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......”，附件是蠕虫本身，文件名可能是“Islove?.jpg.exe”、Helpme?.jpg.exe”、“Myphoto?.jpg.exe”。
4、在特定条件下会生成批处理文件，试图格式化受害计算机，但由于程序设计问题，实际无法格式化硬盘。
　　5、病毒发作的时候，会修改Window Title为“中华人民共和国万岁!”，RegisteredOwner为“秋天的童话”。然后，搜索逻辑盘，用指定的内容覆盖所有的asp、shtml、htm、html文件。该网络蠕虫中还有Japan must for 1931-9-18 pay out price!等英文字样。
　　6、该病毒文件还对该文件的属性等进行了伪装：病毒文件版本看起来是:5.2615.0200;说明文字是来自：Outlook Express,版权信息看起来更象是来自微软：Copyright ? Microsoft Corp. 1995-1999.
预防和清除：
KILL安全胄甲、熊猫杀毒以及天恒安防当前版本即可防御或清除该病毒。
也可使用熊猫软件公司提供的免费在线杀毒工具ActiveScan 进行检查清除。
http://www.pandasoftware.com/activescan/activescan.asp?language=2&Country=63&artner=1&Ref=EN-PR-AS-107
其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。


病毒名称： Worm.Hopalong（“渴望”病毒）
危害程度：中
受影响的系统： Windows 95, Windows 98 , Windows ME,Windows NT, Windo