关于病毒和入侵者的每周报告

本周的病毒报告着眼于三种蠕虫-Bropia.A,Zar.A和Mydoom.AE-和Gaobot.batch。

Bropia.A通过MSN Messenger传播。它通过在应用程序中搜索类“ IMWindowClass”的实例来执行此操作,如果找到了该实例,它将使用以下名称之一发送出去:Drunk_lol.pif,Webcam_004.pif,sexy_bedroom.pif,naked_pa​​rty.pif和love_me.pif。

运行后,Bropia.A在-systemdir-文件中搜索以下名称:adaware.exe,VB6.EXE,lexplore.exe和Win32.exe。如果它们不存在,它将创建一个文件,其中包含Gaobot变体的副本。 Bropia.A还会在路径systemdir中生成几个空文件,并打开它们以防止taskmgr.exe和cmd.exe进程执行。同样,Bropia.A禁用CTRL + ALT + Del组合键,也可以禁用鼠标右键。

Zar.A通过电子邮件传播,该消息涉及2004年12月袭击亚洲的海啸。主题和消息文本均呼吁为受害者提供帮助,附件称为TSUNAMI.EXE。运行该文件时,计算机被Zar.A感染,该计算机使用MAPI将自身的副本发送到Outlook通讯簿中的所有地址。

Zar.A创建三个文件并生成Windows注册表项,以确保每次启动计算机时都运行该注册表项。该蠕虫还尝试针对w.w.hacksector.de网站发起拒绝服务攻击(DoS)。

我们今天要关注的下一个蠕虫是Mydoom.AE,它通过具有可变特征的电子邮件以及P2P文件共享程序进行传播。

一旦感染计算机,Mydoom.AE就会执行以下操作:

-它会打开记事本并显示由随机字符组成的文本。

-它更改了HOSTS文件,以防止用户访问某些防病毒公司的网页。它还会终止属于某些防病毒程序的进程,从而使计算机容易受到来自其他恶意软件的攻击。

-终止属于恶意软件的进程。

-它尝试从Internet下载文件。

今天的报告结束时提到了Gaobot.batch,这是一个批处理文件,当计算机上安装了原始的Gaobot文件时,该文件会删除该文件。

关于熊猫实验室

收到可能受到感染的文件后,Panda Software的技术人员会立即开始工作。将对文件进行分析,并取决于类型,所采取的措施可能包括:反汇编,宏扫描,代码分析等。如果文件确实包含新病毒,则准备好消毒和检测例程并将其快速分发给用户。
欲获得更多信息: http://www.pandasoftware.com/virus_info/

评论(0)

添加评论

此主题已停止发表新评论。

社论:+44(0)1892 536363
发行人:+44(0)208 440 0372
免费订阅每周电子通讯