一、W32病毒:W32.Dbit 危害級別:★★★★☆
根據光華反病毒研究中心專家介紹, 這是一個W32病毒, 感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系統。 當收到、打開此病毒後, 有以下現象:
A 創建服務
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IrMon
服務描述為 "Portable Media Serial Number Service"
B 生成檔
系統目錄\msjet62.dll
使用者目錄\Local Settings\Temp\NEW[RANDOM NUMBER].tmp
目前的目錄[感染過的主機檔]\i\i
C 插入dll到運行的進程, 並隱藏病毒代碼
D 終止以下進程
ethereal.exe
aports.exe
tcpview
windump.exe
iris.exe
CV.exe
sniffer.exe
E 發送收集到的資訊到 211.99.117.202:80
F 供遠端駭客進行以下操作
隱藏網路流量
上傳檔
刪除檔
搜索檔
截屏
啟動代理
檢查網路連接
創建 Autorun.inf 檔
感染檔
執行程式
竊取使用者口令
竊取聊天口令
收集上網資訊
記錄鍵盤操作
二 郵件病毒 W32.Amirecivel.H@mm 危害級別:★★☆☆☆
根據光華反病毒研究中心專家介紹,
A 創建檔到系統目錄
AcroTray32.exe
drivers\etc\hosts.File
B 創建信號量"AmirCivil"
C 增加註冊表項 "AmirCivil" = %System%\AcroTray32.exe" 到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒每次開機後自動執行
D 收集
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
C:\windows
中的以下副檔名檔中的郵寄地址
txt
html
xml
adb
asp
cfg
cgi
dbx
eml
pl
shtm
wab
E 發送以下特徵的郵件
發信人(以下之一)
主題(以下之一)
irvirus
symantec
FBI
irvanvig
NOD32
IranSare2008
Announcement
password
simorgh-ev
Your IP was logged
Read it immediately!
Attention
E-mail account disabling warning
Returned Mail
Soccer funs in public place
IHS
IRNA
hello
ANTI VIRUS