病毒名称:
Trojan.Alemod.B
类别: 木马病毒
病毒资料:
光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:
一、木马病毒:Trojan.Alemod.B 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个木马病毒,感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它注入 oleext32.dll 文件记录用户Web访问,修改桌面设置,从网上下载执行文件,当收到、打开此病毒后,有以下现象:
A 创建以下文件:
系统目录 oleext.dll,System32\oleext32.dll和intell321.exe
Window目录 warnhp.Html uninstDsk.exe
用户目录 Application Data\Microsoft\Internet Explorer\Desktop.htt
B 创建注册表项HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
C 添加注册表项"intell321.exe" = "%System%\intell321.exe到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后执行获取控制权
D 添加注册表项"BackupWallpaper" = "%SystemRoot%\web\wallpaper\Bliss.bmp"到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General
E 增加注册表项"DisplayName" = "Desktop Uninstall" 和
"UninstallString" = "uninstDsk.exe"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Desktop Uninstall
F 删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Intel system tool和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AntivirusGold
G 复制系统目录的wininet.dll 文件为oleext32.dll ,注入病毒到oleext32.dll
H 改变壁纸为(图一)
I 在通知区域显示(图二)
J 从地址 http://download.alfacleaner.com/setu 下载并执行文件(被证实为病毒 Downloader.Harnig)
K 修改windows目录下的文件WININIT.INI中 "rename"的内容
二 木马病毒 W32.Beagle.EB 危害级别:★☆☆☆☆
根据光华反病毒研究中心专家介绍,W32.Maniccum 是一个木马病毒,该病毒长度 135,684 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它收集邮件地址发往指定地址,然后删除自身,当收到、打开此病毒后,有以下现象:
A 收集硬盘中以下扩展名的文件中邮件地址
.wab
.txt
.msg
.htm
.shtm
.stm
.XML
.dbx
.mbx
. mdx
.eml
.nch
.mmf
.ods
.cfg
.ASP
.PHP
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
B 排除含有以下内容的邮件地址
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
Linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
WinZip
WinRAR
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
C 将收集到的地址发送到
http://www.gabyphoto.com/pages/out
D 增加注册表项"FirstRun4545" = "1"到
HKEY_CURRENT_USER\Software\FirstRun
E 删除病毒自身
北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到4月17日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-4-17
