4.16-4.22依然是“高波”“网络天空”等病毒占主导地位,但近期监测数据显示,通过及时聊天工具QQ、MSN进行传播的病毒又有卷土重来的势头,因此用户需特别注意防范。
一、计算机病毒疫情监测周报
1.“高波”病毒(Worm_AgoBot)
该病毒是常驻内存的蠕虫病毒,利用RPC DCOM缓冲区溢出漏洞、IIS5/WEBDAV缓冲区溢出漏洞和RPC Locator漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4.exe。添加注册表项,使得自身能够在系统启动时自动运行。
2.“网络天空”变种(Worm_Netsky.D)
该病毒通过邮件传播,使用UPX压缩。运行后,在%Windows%目录下生成自身的拷贝,名称为Winlogon.exe。(其中,%Windows%是Windows的默认文件夹,通常是C:\Windows或C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。
3.Worm_Mytob.X
该变种通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。运行后,在系统目录下生成自身的拷贝名称为TASKGMR.EXE或是NETHELL.EXE。还会在C:\目录下生成FUNNY_PIC.SCR、MY_PHOTO2005.SCR和SEE_THIS!!.SCR这三个文件。修改注册表键值,使得自身能够在系统启动时自动运行。编辑系统的HOSTS文件,阻止被感染系统的用户访问一些反病毒网站病毒,同时具有后门能力。
4.“贝革热”变种(Worm_Bagle.BE)
病毒通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。病毒运行后,在%System%下生成WIWSHOST.EXE和自身拷贝WINSHOST.EXE,长度为34,304字节。病毒创建注册表项,使得自身能够在系统启动时自动运行。该木马还会中止一些反病毒安全的应用进程,同时通过编辑HOSTS文件阻止计算机用户访问一些反病毒网站,还有使受感染的机器从一些指定的资源服务器上主动下载并运行一个特殊文件。
二、本周病毒动态分析
通过对以上监测结果分析,这周上榜的病毒和上周一样,只是排位略有变化,同时也没有出现新的重大病毒疫情,还是一些像Worm_Mytob的变种Worm_Mytob.X、“高波”(Worm_AgoBot)及其变种、“网络天空”(Worm_Netsky.D)和“贝革热”变种(Worm_Bagle.BE)等老的流行病毒占主导地位。长期在网络中存在并传播着,始终没有彻底根除掉,给计算机用户造成很大的破坏和影响。因此,提醒计算机用户关注这些病毒的发展变化,做好必要的防毒措施!
另外,近期内通过及时聊天工具QQ、MSN进行传播的病毒又有卷土重来的势头,这些病毒依旧利用发送过来的文件、图片或是网址等一些诱惑性的信息来诱使用户点击,运行后感染计算机系统,进而感染该机器里QQ、MSN中好友列表里的所有用户。因此,提醒用户在使用及时聊天工具的时候特别要加小心,不要轻易点击这些来历不明的信息,谨防感染这种类型的病毒。
三、建议可以采用以下病毒防范措施
1、对于感染“高波”病毒新变种Worm_AgoBot的计算机用户提醒用户及时打补丁。
2、对于感染Worm_Mytob.X蠕虫的计算机用户,提醒用户及时升级杀毒软件。
3、对于感染“网络天空”的新变种Worm_Netsky.D病毒的计算机用户,提醒用户及时升级杀毒软件。
4、不要轻易打开来历不明的邮件,尤其是邮件的附件。
5、不要随便登录不明网站。
6、使用光盘、软盘进行数据交换前,先对其进行病毒检查。
7、做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢复。
8、发现网络和系统异常,及时与国家计算机病毒应急处理中心或防病毒厂家联系。
