|
警惕程度:★★★★☆
发作时间:随机
病毒类型:蠕虫病毒
传播途径:邮件/局域网/mIRC软件/Kazaa软件
依赖系统: WINDOWS 9X/NT/2000/XP
病毒介绍:
瑞星全球反病毒监测网截获了一个传播速度极快的恶性蠕虫病毒“斯文(Worm.Swen)”,它于9月19日开始在我国传播。该病毒会象“求职信”一样在网络中大面积泛滥并引起网络阻塞, 影响用户的正常上网。该病毒会将自己伪装成微软公司的升级邮件来诱惑用户点击,当用户运行该病毒时还会显示安装进度条,具有非常大的迷惑性。另外,该病毒还有一个独特之处,就是它会实时自动统计发送成功的病毒邮件数量,至今全球已有几百万台电脑收到了该病毒的带毒邮件,用户随时都有可能激活该病毒。
该病毒运行时会将自己伪装成一封微软公司升级邮件,然后搜索所有有效的邮件地址向外疯狂发送病毒邮件。该病毒邮件的标题为:"Returned Response"(译文:反馈信息),附件是病毒本身。当病毒运行时会提示:“This will install Microsoft Security Update Do you wish to continue?”(译文:将安装微软安全补丁,你希望继续吗?),如果用户选择“是”,则会出现一个安装进度条,当安装后还会提示已经安装成功,让用户以为是真正的补丁程序,其实这时候病毒已经运行。
病毒运行后会将自己拷贝到系统目录,然后将隐藏于内存之中伺机进行感染,并且关联后缀为:BAT、COM、EXE、PIF、REG等类型的的文件,当用户运行这类文件时,病毒便会显示一个出错框,其实这时病毒已经开始搜索硬盘中的有效邮件地址了。此外,病毒还会通过mIRC软件进行传播,干掉几十家反病毒软件与防火墙,使用户电脑的安全防护失效。
最近发现的“蓝盒子(Worm.Lehs)”、“V宝贝(Win32.Worm.BabyV)”和 “斯文(Worm.Swen)”病毒,都是将自己伪装成微软公司的补丁程序来进行传播的,希望广大用户提高辩别能力,免遭这些病毒侵扰。
病毒的发现与清除:
1. 病毒运行时,会将自己复制到windows目录,文件名随机,并且在注册表的run项中加入病毒自启动键值。
2. 病毒每感染一台电脑便会连到病毒作者的一个网站(http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006),并进行感染计数,以此统计有多少台电脑已被感染。
3. 病毒会修改:BAT、COM 、EXE 、PIF 、REG 、SCR这些类型文件的注册表关联,当用户运行这些类型的文件时,病毒便会自动弹出内容为:“Memory Access Violation in module kernel32 at ????:???????? (注:以上问号部分为随机数字)”消息框来迷惑用户。
4. 病毒会冒充微软公司的补丁邮件来诱惑用户,病毒会发送邮件的发件人是:Email Delivery Service (kmailengine@yahoo.com),标题是:"Returned Response",邮件内容是:
"Undeliverable mail to (目标邮件地址 )"的病毒邮件,附件为随机名的病毒复本(被zip或rar压缩的),当用户运行该附件时,病毒会出现以下提示框:
如果用户选择“是”,则会出现以下进度框:
当进度完成后会出现以下信息框:
其实以上信息都是虚假的,是病毒做出来迷惑用户的,这时候病毒会搜磁盘中所有类型为:*.mbx,*.asp,*.ht*,*.dbx,*.wab,*.eml的文件,在其中搜索有效的email地址,并把这些地址记在%windir%germs0.dbv文件中。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
5. 病毒运行还会显示如下所示的一个假的mapi错误信息以骗取用户的基本信息:
6. 该病毒会进行局域网传播,搜索网络共享目录并尝试将自己复制到以下路径中:
windows\all users\start menu\programs\startup
windows\start menu\programs\startup
winme\all users\start menu\programs\startup
winme\start menu\programs\startup
win95\all users\start menu\programs\startup
win95\start menu\programs\startup
win98\all users\start menu\programs\startup
win98\start menu\programs\startup
document and settings\all users\start menu\programs\startup
document and settings\default user\start menu\programs\startup
document and settings\administrator\start menu\programs\startup
winnt\profiles\all users\start menu\programs\startup
winnt\profiles\default user\start menu\programs\startup
winnt\profiles\administrator\start menu\programs\startup
7. 病毒会将注册表的Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools值置为1 ,使用户无法使用注册表编辑工具。如果出现这种现象,则很有可能是中了该病毒,可以用瑞星的注册表修复工具进行修复,下载地址:http://it.rising.com.cn/service/technology/RegClean_download.htm。
8. 病毒能搜索mIRC的客户端,并利用病毒自身放出的irc脚本进行传播。同时病毒还利用p2p软件Kazaa进行传播。病毒通过把自己复制到%windir%temp目录(文件名随机)并把该目录通过Kazaa共享出去以达到传播目的:
病毒可能使用的文件名:
Download Accelerator
GetRight FTP
Windows Media Player
key generator
installer
cleaner
fixtool
AOL hacker
Cooking with Cannabis
Virus Generator
......
9. 病毒在运行中将关闭以下的反病毒软件及防火墙:
_avp
ackwin32
amserv
anti-troj
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmi
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
f-prot
f-prot95
f-stopw
findviru
fp-win
fprot
fprot95
frw
gibe
iamapp
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi
kpfw32
lockdown200
lookout
lu32
luall
moolive
mpftray
msconfig
nai_vs_stat
nav
navapw32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
view
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“斯文(Worm.Swen)”病毒,为避免用户遭受损失,瑞星公司已于截获该病毒当天就进行了升级,瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.53.20版已可清除此病毒,目前瑞星用户只需升级到该版本即可彻底拦截此病毒。
如果用户遇到异常情况,还可拨打瑞星反病毒急救电话:010-82678800和瑞星紧急救援小组上门服务热线(限北京地区):010-82678866-552或使用瑞星在线杀毒:http://online.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!
瑞星反病毒专家的安全建议:
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。 | 
