病毒出动纪实 | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://sports.sina.com.cn 2004年07月28日10:57 新闻午报 | |||||||||
上周较活跃病毒主要有三个蠕虫:Bagle.AF,Atak.A和Korgo.Z以及木马病毒Xebiz.A。Bagle.AF会在被感染计算机系统中锁定带以下拓展名的文件:WAB,TXT,MSG,HTM,SHTM,STM,XML,DBX,MBX,MDX,EML,NCH,MMF,ODS,CFG,ASP,PHP,PL,WSH,ADB,TBB,SHT,XLS,OFT,UIN,CGI,MHT,DHTM和JSP等,然后从中搜寻邮件地址、使用自有的SMTP工具自我发送。
该蠕虫同时会终止各种网络安全产品如防病毒程序的进程,并且连接不同的PHP脚本。此外还会创建一个后门以便打开端口伺机行动。Atak.A主要通过邮件传播。它所带邮件附件具有双重拓展名。其中之一会根据空间大小随机选择,JPG或是GIF,其二则固定为EXE。 随即Atak.A会锁定符合条件的文件:1.带有ADB或WAB拓展名的文件;2.文件大小小于81920个字节;3.文件拓展名为:ASP,CFG,CGI,DBX,EML,HTM,HTML,JSP,LOG,MBX,MHT,MSG,NCH,ODS,PHP,SHT,TBB,UIN,VBS以及XML。从中搜寻邮件地址并利用自有的SMTP工具自我发送至这些地址。 另外该病毒会建立一个互斥体确保同一时间只有一个蠕虫病毒复制体运行。倘若在被感染计算机里存在任何调试程序,病毒将设法终止其进程。Korgo.Z蠕虫利用Windows系统漏洞LSASS通过因特网传播。除可自动破坏WindowsXP/2000操作系统外,藉由他人介入还可作用于其它的Windows平台。 Z变种侵入被感染计算机的常驻内存并试图从一些特定网页下载文件和发送有关当前计算机所在国家之类的信息。和上述病毒类似的是,Korgo.Z为了避免两个病毒复制体同时运行亦会创建互斥体。Xebiz.A该病毒会试图链接某一网页以便向被感染计算机下载另一木马病毒Zerolin.A。不仅如此,它还会在Windows注册表中创建一些新文件和键值,保证每次系统启动该病毒都会随之运行。 Xebiz.A传播方式主要为群发各具特性的病毒邮件。唯一的相同点则是都会包括一张带有某图标的表格。用户一旦点击该图标即会发现中招了。方正信息安全技术有限公司提供 |