“莫国防I(Win32.MGF.4408)”病毒:警惕程度★★★★,系统病毒,通过局域网/文件传播,依赖系统: WIN9X/NT/2000/XP。
该病毒感染之后会搜索注册表,从中取得桌面快捷方式的完整路径,修改文件使之感染。然后病毒会给系统打开一个“Ring3”到“Ring0”的直接后门,无论当前用户是什么级别,都能利用这个后门绕过Win2000/XP系统严格的用户验证体系直接攻击计算机系统,对计算机进行毁灭性的破坏。
据瑞星反病毒工程师介绍,这是全球第一个可以在Win2000操作系统下取得最高权限“Ring0”的病毒,从技术意义上说此病毒的编写水平可以和CIH病毒相比肩,只是病毒编写者没有加入恶意的破坏手段,而以羞辱比尔盖茨为目的。因此有可能在未来出现恶性的变种病毒,电脑用户必须提前防范。
莫国防I主要通过局域网传播,该病毒会遍历网络资源,并尝试联连将%system%unblaster.exe文件复制到别的计算机。同时该病毒会修改NT/WINDOWS2000/XP下的NTLDR文件,极难被清除。
该病毒变种一旦发作,会显示一个消息框,标题为:莫国防的技术使者之宣言,内容是:本使者为传播技术而来,已在这里安营扎寨。我无恶意,不必担心!致我的偶像比尔.盖茨:你的几个傻瓜手下,轻视我的漏洞报告,你该打他们的PP!
尽管“莫国防I”表面的发作现象只在在3、6、9、12月的周五、六、日出现,但病毒一进入用户系统就会打开后门,并一直开启,从而使用户的计算机面临很大的安全风险。