關閉廣告
明星 
病毒標籤:
 

病毒名稱: Worm.Win32.Downloader.ay
病毒類型: 蠕蟲
文件 MD5: C39C4F97B2B5D94D5DC19DB0A2BBC982
公開範圍: 完全公開
危害等級: 5
文件長度: 33,200 字節
感染系統: Windows98以上版本
病毒描述:
 

  該病毒屬後門類。病毒運行後衍生病毒文件到%System32%附屬目錄下。修改註冊表,
添加服務、創建服務以到隨機啟動的目的;病毒完全運行後刪除自身。連接網絡下載病
毒文件,並執行,通過下載的病毒文件獲取用戶的敏感信息,該病毒可以通過局域網進
行傳播。
行為分析
  本地行為:

1、文件運行後會釋放以下文件:
    %System32%\com\comrepl32.exe      9,216 字節
    %System32%\ drivers\pcibus.sys     90,112 字節
    
2、新增註冊表:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\policies\Explorer\Run]
    註冊表值: "comrepl32"
    類型: REG_SZ
    值:"C:\windows\system32\com\comrepl32.exe"
    描述:啟動項,使病毒文件在當該系統的所有用戶登陸該系統時,
    運行病毒文件。

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\PciHardDisk]
    註冊表值: "Description"
    類型: REG_SZ
    值:"PciHardDisk"
    描述:服務描述

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\PciHardDisk]
    註冊表值: "DisplayName"
    類型: REG_SZ
    值:"PciHardDisk"
    描述:服務名稱

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\PciHardDisk]
    註冊表值: "ImagePath"
    類型: REG_SZ
    描述:服務映像文件的啟動路徑
    值:"C:\WINDOWS\system32\drivers\pcidisk.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\PciHardDisk]
    註冊表值: "Start"
    類型:DWORD
    值: "3"
    描述:服務的啟動方式,手動
網絡行為:

    連接網絡獲取病毒文件的下載列表:
    http://dl.w3c****.com/elf_listo.txt

    依據下載列表下載病毒文件
    hxxp://rising.w3c****.com/1.exe
    hxxp://rising.w3c****.com/2.exe
    hxxp://rising.w3c****.com/3.exe
    hxxp://rising.w3c****.com/4.exe
    hxxp://rising.w3c****.com/5.exe
    hxxp://rising.w3c****.com/6.exe
    hxxp://rising.w3c****.com/7.exe
    hxxp://rising.w3c****.com/8.exe
    hxxp://rising.w3c****.com/9.exe
    hxxp://rising.w3c****.com/10.exe
    hxxp://rising.w3c****.com/11.exe
    hxxp://rising.w3c****.com/12.exe
    hxxp://rising.w3c****.com/13.exe
    hxxp://rising.w3c****.com/14.exe
    hxxp://rising.w3c****.com/15.exe
    hxxp://rising.w3c****.com/16.exe
    hxxp://rising.w3c****.com/17.exe
    hxxp://rising.w3c****.com/18.exe
    hxxp://rising.w3c****.com/19.exe
    hxxp://rising.w3c****.com/20.exe
    hxxp://rising.w3c****.com/re.exe

註: %System32% 是一個可變路徑。病毒通過查詢操作系統來決定當前 System文件夾的
位置。
  
    %Windir%             WINDODWS所在目錄
    %DriveLetter%          邏輯驅動器根目錄
    %ProgramFiles%          系統程序默認安裝目錄
    %HomeDrive%           當前啟動的系統的所在分區
    %Documents and Settings%    當前用戶文檔根目錄
    %Temp%             \Documents and Settings
                    \當前用戶\Local Settings\Temp
    %System32%           系統的 System32文件夾
    
    Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
    windows95/98/me中默認的安裝路徑是C:\Windows\System
    windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案:
 
1 、手工清除請按照行為分析刪除對應文件,恢復相關係統設置:
    (1)使用服務管理關閉病毒進程。
    (2)刪除病毒文件:
      %System32%\com\comrepl32.exe
      %System32%\drivers\pcibus.sys
    (3)刪除病毒添加的註冊表項:
      [HKEY_LOCAL_MACHINE\SOFTWARE
      \Microsoft\Windows\CurrentVersion
      \policies\Explorer\Run]
      註冊表值: "comrepl32"
      類型: REG_SZ
      值:"C:\windows\system32\com\comrepl32.exe"
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\PciHardDisk]
      註冊表值: "Description"
      類型: REG_SZ
      值:"PciHardDisk"
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\PciHardDisk]
      註冊表值: "DisplayName"
      類型: REG_SZ
      值:"PciHardDisk"
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\PciHardDisk]
      註冊表值: "ImagePath"
      類型: REG_SZ
      值:"C:\WINDOWS\system32\drivers\pcidisk.sys"
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\PciHardDisk]
      註冊表值: "Start"
      類型:DWORD
      值: "3"

Oo秋八月oO 發表在 痞客邦 留言(0) 人氣()

▲top

明星 

網路謠言指出0800是免付費電話,網路追追追卅小心0809開頭電話 1分鐘費用高達2425元?[url=http://www.eyny.com/viewthread.php?tid=1479511]網路追追追卅小心0809開頭電話 1分鐘費用高達2425元?[/url]伊莉討論區[url=http://www.eyny.com/]伊莉討論區[/url]而0809是高額付費電話,該謠言還指出鉼鉿鉺銦蒴菿萉菧警察局已確認這是詐騙電話,市刑大正在追查中搫摲摑摜瑣瑪瑲瑰但是現在不是不少0809的免付費電話,難道大家都被騙了嗎賒赫趖趕瘑瘧瘉皸這是怎麼一回事?

>>看原信:小心 809 開頭的電話,一分鐘費用高達 2425 元

大家再看一次原信就可以發現僯僓僪僤鳲鳶鳴鳵這封信主要談的其實是「區碼」809,不知道在台灣怎麼傳的,就變成0809(免付費電話),其實這兩者根本就不同。

第二點,809的區碼謠言,是一個國外謠言,主要受害者當然又是電信巨人AT&T啦。而AT&T也很早就在站上做出澄清了:

AREA CODE FRAUD
http://www.consumer.att.com/consumertips/areacode.html

此外防毒軟體公司趨勢科技的英文版網站也有說明:
Area Code 809 Hoax

http://www.trendmicro.com/vinfo/ ... =Area+Code+809+Hoax

至於傳到台灣後變形成0809的謠言,可能是轉述者太想當然耳了(台灣沒有809這種區碼,就直接把謠言本土化,搞個0809出來)。

經詢問刑事局警官,得知免付費 (受話方付費服務)智慧虛擬碼核配表於電信總局的網站上即可查到,0809的免付費電話共有台灣固網、亞太寬頻(表列為未改名前的東森寬頻)與速博(表列為未改名前的新世紀資通)所持有。

0809021091這個電話,依照表列規格080+902+xxxx是屬於台灣固網的免付費電話服務。

詳情可以參閱受話方付費服務(080+BCD+xxxx)智慧虛擬碼核配表:http://www.dgt.gov.tw/chinese/Telecom-numbering/9.2/wisdom-virtual.shtml#Virtual080

換句話說,不管是809還是0809,都只是謠言,大家也不用太擔心了。

附記:現在也沒有080跟0800的差別了,全都升碼到0800了。

Oo秋八月oO 發表在 痞客邦 留言(0) 人氣()

▲top

明星 

一、對IE瀏覽器產生破壞的網頁病毒:
(一).主頁被修改
  1.破壞特性:主頁被自動改為某網站的網址。
  2.表現形式:瀏覽器的默認主頁被自動設為如********.COM的網址。
  3.清除方法:採用手動修改註冊表法,開始功能表->運行->regedit->確定,打開註冊表編輯工具,按順序依次打開:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL鍵值名(用來設置主頁),在右視窗點擊右鍵
進行修改即可。按F5鍵刷新生效。
 
(二).首頁被修改
  1.破壞特性:首頁被自動改為某網站的網址。
  2.表現形式:瀏覽器的主頁被自動設為如********.COM的網址。
  3.清除方法:採用手動修改註冊表法,開始功能表->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage鍵值名(用來設置默認首頁),在右視窗點擊右鍵進行
修改即可。按F5鍵生效。
  
(三).微軟主頁被修改
  1.破壞特性:微軟主頁被自動改為某網站的網址。
  2.表現形式:微軟主頁被篡改。
  3.清除方法:
   (1)手動修改註冊表法:開始功能表->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到Default_Page_URL鍵值名(用來設置微軟主頁),在右視窗點擊右鍵,將鍵值修改為http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5鍵刷新生效。
  (2)自動檔導入註冊表法:請把以下輸入或粘貼複製到記事本內,以副檔名為reg的任意檔案名存在C盤的任一目錄下,然後執行此檔,根據提示,一路確認,即可顯示成功導入註冊表。
   REGEDIT4
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
 "default_page_url"~"http://www.microsoft.com/windows/ie_intl/cn/start/"

(四).首頁設置被遮罩鎖定,且設置選項無效不可更改
  1.破壞特性:主頁設置被禁用。
  2.表現形式:主頁地址欄變灰色被遮罩。
  3.清除方法:(1)手動修改註冊表法:開始功能表->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建“ControlPanel”主鍵,然後在此主鍵下新建鍵值名為“HomePage”的DWORD值,值為“00000000”,按F5鍵刷新生效。
  (2)自動檔導入註冊表法:請把以下內容輸入或粘貼複製到記事本內,以副檔名為reg的任意檔案名存在C盤的任一目錄下,然後執行此檔,根據提示,一路確認,即可顯示成功導入註冊表。
  REGEDIT4
 [HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel]
  "HomePage"~dword:00000000
  
(五).的IE搜索引擎被修改
   1.破壞特性:將IE的微軟搜索引擎更改。
   2.表現形式:搜索引擎被篡改。
   3.清除方法:(1)手動修改註冊表法:開始功能表->運行->regedit->確定,打開註冊表編輯工具,第一,按如下順序依次打開:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到“SearchAssistant”鍵值名,在右面窗口點擊“修改”,即可對其鍵值進行輸入為: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,然後再找到“CustomizeSearch”鍵值名,將其鍵值修改為:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,按F5鍵刷新生效。
   (2)自動檔導入註冊表法:請把以下內容輸入或粘貼複製到記事本內,以副檔名為reg的任意檔案名存在C盤的任一目錄下,然後執行此檔,根據提示,一路確認,即可顯示成功導入註冊表。
   REGEDIT4
   [HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]
  "SearchAssistant"~"http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
  "CustomizeSearch"~"http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
  
(六).IE標題欄被添加非法資訊
  1.破壞特性:通過修改註冊表,使IE標題欄被強行添加宣傳網站的廣告資訊。
  2.表現形式:在IE頂端藍色標題欄上多出了什麼“正點網,即使正點網!
http://www.zhengdian.com "尾巴。
  3.清除方法:(1)手動修改註冊表法:開始功能表->運行->regedit->確定,打開註冊表編輯工具,第一,按如下順序依次打開:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支,找到“Window title”鍵值名,輸入鍵值為Microsoft Internet Explorer,按F5刷新。
  第二,按如下順序依次打開:
HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支,找到“Window title”鍵值名,輸入鍵值為Microsoft Internet Explorer,按F5刷新生效。
  (2)自動檔導入註冊表法:請把以下內容輸入或粘貼複製到記事本內,以副檔名為reg的任意檔案名存在C盤的任一目錄下,然後執行此檔,根據提示,一路確認,即可顯示成功導入註冊表。
  REGEDIT4
  
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
  "Window title"~"Microsoft Internet Explorer"
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
  "Window title"~"Microsoft Internet Explorer

Oo秋八月oO 發表在 痞客邦 留言(0) 人氣()

▲top
«1...798081 8283...436