返回列表 回复 发帖

瑞星紧急升级报告

瑞星紧急升级报告:16.01.01版新增可查杀“小邮差变种”

本周16.01.01版新增6个可查杀病毒,主要包括: WINDOWS下的PE病毒(6);
WINDOWS下的PE病毒(6)

1.Worm.Mimail.j
破坏方法:这是Worm.MiMail的新变种。
该病毒运行后首先将自己复制到system目录下路径为:%system32%svchost32.exe
并在注册加入:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\SvcHost32项
病毒放出c:\pp.hta及c:\pp.gif,c:\index2.hta文件并用ie启动该hta文件(该脚本为一个假的信用卡信息
填写栏)病毒利用该脚本把用户输入的信用卡信息记录到c:\ppinfo.sys,C:\Cansend.sys文件内。
   该病毒之后建立3个线程
线程1功能:
   将带有用户输入的信用卡信息c:\ppinfo.sys,c:\cansend.sys文件发送到作者指定的信箱。
线程2功能:
   病毒从注册表Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
得到一些目录信息并从这些目录中的文件里找email地址
(注:病毒在搜索email文件时将过滤以下扩展名的文件 com. wav. cab. pdf. rar. zip.
tif. psd. ocx. vxd. mp3. mpg. avi. dll. exe. gif.jpg. bmp)
并把这些地址记录到 el388.tmp文件里
线程3功能:
   病毒按搜出来的email地址进行邮件传播。
邮件标题为:
    IMPORTANT
内容:
Dear  
PayPal member,We regret to inform you that your account is about to be expired  
in next five business days. To avoid suspension of your account you have to reactivate
it by providing us with your personal information...To update your personal profile
and continue using PayPal services you have to run the attached application to this
email. Just run it and follow the instructions...IMPORTANT! If you ignore this alert,
your account will be suspended in next five business days and you will not be able to
use PayPal anymore.
                 Thank you for using PayPal.






2.Worm.Mimail.j.enc
破坏方法:这是Worm.MiMail的新变种。
该病毒运行后首先将自己复制到system目录下路径为:%system32%svchost32.exe
并在注册加入:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\SvcHost32项
病毒放出c:\pp.hta及c:\pp.gif,c:\index2.hta文件并用ie启动该hta文件(该脚本为一个假的信用卡信息
填写栏)病毒利用该脚本把用户输入的信用卡信息记录到c:\ppinfo.sys,C:\Cansend.sys文件内。
   该病毒之后建立3个线程
线程1功能:
   将带有用户输入的信用卡信息c:\ppinfo.sys,c:\cansend.sys文件发送到作者指定的信箱。
线程2功能:
   病毒从注册表Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
得到一些目录信息并从这些目录中的文件里找email地址
(注:病毒在搜索email文件时将过滤以下扩展名的文件 com. wav. cab. pdf. rar. zip.
tif. psd. ocx. vxd. mp3. mpg. avi. dll. exe. gif.jpg. bmp)
并把这些地址记录到 el388.tmp文件里
线程3功能:
   病毒按搜出来的email地址进行邮件传播。
邮件标题为:
    IMPORTANT
内容:
Dear  
PayPal member,We regret to inform you that your account is about to be expired  
in next five business days. To avoid suspension of your account you have to reactivate
it by providing us with your personal information...To update your personal profile
and continue using PayPal services you have to run the attached application to this
email. Just run it and follow the instructions...IMPORTANT! If you ignore this alert,
your account will be suspended in next five business days and you will not be able to
use PayPal anymore.
                 Thank you for using PayPal.






3.Trojan.HuiGeZi.VIP.12
破坏方法:后门程序,启动后将自己安装到到系统目录下,在后台隐藏运行。并修改注册表   HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
H_Server.exe : C:\WINDOWS\SYSTEM\H_Server.exe
以达到自启动的目的.此病毒还会打开一个UDP端口。




4.Trojan.HuiGeZi.VIP.12.enc
破坏方法:后门程序,启动后将自己安装到到系统目录下,在后台隐藏运行。并修改注册表   HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
H_Server.exe : C:\WINDOWS\SYSTEM\H_Server.exe
以达到自启动的目的.此病毒还会打开一个UDP端口。




5.Trojan.Huigezi.fc
破坏方法:灰鸽子的变种。请参考“Trojan.Huigezi.f”



6.Trojan.HuiGeZi.VIP.12.dll
返回列表