病毒监测周报  第七十五期(2004.6.5 2004.6.11)


一、病毒疫情周报表

计算机病毒疫情监测周报

序号

病毒名称

病毒特点

1

“震荡波”病毒

Worm_Sasser.A)

 病毒运行后,在%Windows%目录下生成名为avserve.exe,同时在%System%目录下生成其它病毒文件;病毒创建注册表项,使得自身能够在系统启动时自动运行;病毒主动进行扫描,对网络中没有安装微软SSL安全漏洞的机器进行攻击,受攻击的系统就会生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。同时由于病毒扫描A 类或B类子网地址,目标端口是445,会对网络性能有一定影响,尤其局域网可能造成瘫痪。并在9996端口创建远程Shell。该病毒在传播和破坏形式上与"冲击波"病毒相类似。
2

  “网银大盗Ⅱ”
病毒

Troj_Dingxa.A

 病毒运行后在系统文件夹%System%下创建自身的副本,文件名称为svch0st.exe。 病毒修改注册表,以达到随系统启动而自动运行的目的。病毒运行后检查IE窗口标题栏,判定当前窗口是否为网上银行的登陆页面,涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息发送到指定的地址。
3

“网络天空”
新变种

(Worm_Netsky.D)

该病毒通过邮件传播,使用UPX压缩。运行后,在%Windows%目录下生成自身的拷贝,名称为Winlogon.exe。(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的,

4


Worm_Mydoom.F

该病毒通过邮件传播,病毒本身是一个可执行文件,可能包含在一个ZIP压缩包里。当病毒运行时,会在多个文件夹下生成多个随机字母组成的病毒文件。病毒具有后门功能,会在 TCP 端口 1080 上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口,给系统安全带来隐患。删除.mdb、.doc、.xls、.sav、.jpg、.avi、.bmp为扩展名的文件,并在每个月的17到22号之间时,发起对网站www.riaa.com 和www.microsoft.com 进行DOS攻击。病毒具有破坏性。


二、本周病毒动态分析
   
     通过对以上监测结果分析,本周蠕虫病毒"震荡波"(Worm_Sasser.A)仍是继续对广大计算机用户造成威胁,再次提醒广大用户,及时下载补丁程序,修补漏洞,升级杀毒软件,启动"实时监控"功能,抵御病毒入侵。

   "网银大盗Ⅱ"病毒Troj_Dingxa.A排名一举升至第二位,广大用户应及时升级杀毒软件和防火墙,启动"实施监控"功能。并根据病毒的技术特点,设置防火墙和边界路由器的规则,抵御病毒入侵。

   蠕虫病毒Worm_Mydoom.F这周排名稍降,但仍有很大影响,我们提醒计算机用户不要轻易收取不明来历的邮件,特别是附件为.zip的邮件。

   从这周病毒的发作情况来看,比上一周增加了新病毒"网银大盗II",且造成了很大影响。此外,一些老病毒仍对计算机用户造成危害。所以还是要建议计算机用户对自己的系统做好防范措施,及时打安全漏洞补丁,升级杀毒软件。


三、建议可采用以下病毒防范措施

1、对于感染"震荡波"(Worm_Sasser.A)病毒的计算机用户提醒用户及时升级杀毒软件并给系统打安全漏洞补定,或可以登陆网站:
http://www.antivirus-china.org.cn/content/Worm_Sasser.htm查阅

2、对于感染"网银大盗Ⅱ"Troj_Dingxa.A病毒的计算机用户,提醒用户及时升级杀毒软件,或可以登陆网站:
http://www.antivirus-china.org.cn/content/Troj_Dingxa.A.htm查阅

3、对于感染"网络天空"的新变种Worm_Netsky.D病毒的计算机用户提醒
用户及时升级杀毒软件,或可以登陆网站:
http://www.antivirus-china.org.cn/content/Worm_Netsky.D.htm查阅

4、对于感染Worm_Mydoom.F计算机用户提醒用户及时升级杀毒软件,
或可以登陆网站:   
http://www.antivirus-china.org.cn/content/Worm_Mydoom.F.htm查阅


5、不要轻易打开来历不明的邮件,尤其是邮件的附件。 

6、闭不必要的服务和端口。 

7、将浏览器的安全级别设为中级以上。 

8、不要随便登录不明网站。 

9、Office软件的安全级别设定为中级以上。 

10、使用光盘、软盘进行数据交换前,先对其进行病毒检查。 

11、将系统配置改为从硬盘引导,不要用软盘引导系统,防止感染引导型病毒。 

12、做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢复。 

13、发现网络和系统异常,及时与国家计算机病毒应急处理中心或防病毒厂家联系。

 

 



国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址:Http://www.antivirus-China.org.cn
电  话:022-66211488/66211489/66211490 转 8017
传  真:022-66211487 
电子邮件:sos@antivirus-China.org.cn
         security@tj.cnuninet.net