www.rising.com.cn 2004-3-25 15:32:00 信息源:瑞星公司
发现日期:3月25日
该病毒是“秋天的童话”新变种,感染网页文件,通过邮件进行传播,显示煽动信息,同时会对某些网站发起DDOS攻击。
一、病毒评估
1.病毒中文名:秋天的童话 III
2.病毒英文名:Worm.Atale.c
3.病毒大小:61,440字节
4.病毒类型:蠕虫病毒
5.病毒危险等级:★★★★
6.病毒传播途径:网络
7.病毒依赖系统:Windows 9x/NT/2000/XP
二、病毒的破坏
病毒会破坏系统文件关联;破坏autoexec.bat;感染htm等网页文件;释放vbs病毒体并向外发送邮件,传播力很强。由于该病毒在传播时会向外发送大量的ping包,造成网络阻塞。
三、病毒报告
1、病毒采用gif格式文件的图标,拷贝自身为系统目录下的“Myphoto.jpg.exe”、“(未设置键值).exe”、“ .exe”。
2、病毒修改注册表以自启动。
HKEY_CLASSES_ROOT\inifile\shell\open\command
(默认) : C:\WINDOWS\TEMPORARY INTERNET FILES\MYPHOTO.JPG.EXE %1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
3、病毒对下列主机进行DDos攻击:
www.163.com
www.sina.com.cn
www.dell.com
www.microsoft.com
www.yn.cninfo.net
www.km169.net
4、拷贝自己为下列文件之一,作为脚本发送邮件时的附件
%Temporary Internet Files%\Helpme.exe
%Temporary Internet Files%\Myphoto.jpg.exe
%Temporary Internet Files%\Islove.jpg.exe
%Temporary Internet Files%\Helpme.jpg.exe
%Temporary Internet Files%\Myphoto.exe
%Temporary Internet Files%\Islove.exe
5、调用IE打开下列网址
http://***mincer.top263.net
6、释放“Network.vbs”,利用outlook向地址簿中的每个邮箱发送一份携带病毒的邮件,传播自身。
7、试图感染“htm”、“asp”、“html”文件,写入恶意代码。
被感染的文件运行后,会弹出下列对话框
标题:“The People's Republic of China Banzai!” (中华人民共和国万岁!)
正文:“To unify the TanWai by China!”。 (台湾要被大陆统一)
标题:“No War!Peace Banzai!” (不要战争!和平万岁!)
正文:“(Autumnal Fairy Tale)” (秋天的童话)
8、病毒还会修改autoexec.bat,写入耸人听闻的信息:
Warning! illegal access error! (警告!不合法的访问)
a fatal BIOS error,be incapable of data to load...... (严重的BIOS错误,不能加载数据)
Blood for blood!
Fuke USA!
等等
四、病毒解决方案:
1.进行升级
瑞星公司将于当天进行升级,升级后的软件版本号为16.19.30,该版本的瑞星杀毒软件可以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http://www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能。
2.使用专杀工具
鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到:http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载,并进行该病毒的清除。
3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途径,用户可以登陆网址:http://online.rising.com.cn/来使用在线杀毒产品,或者登陆网址: http://go.rising.com.cn/来使用下载版产品。
4.打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
5.手动清除
(1)打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
的“(默认)”值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
的“(默认)”值
修改HKEY_CLASSES_ROOT\inifile\shell\open\command的(默认)值为 : notepad.exe %1
(2) 将%SYSDIR%目录下的文件: “未设置键值.exe”、“ .exe”删除
注:%SYSDIR%位Windows系统的安装目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYSTEM,Win2K下默认为:C:\WINNT\SYSTEM32。
五、安全建议:
1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使您的计算机更加安全。
2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。
3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。
4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报,这样才能真正保障计算机的安全。
分析人:mazhenhui
|