吴铭
2004-08-02, 05:48 PM
据瑞星全球反病毒监测网介绍,今日有两个病毒特别值得注意,它们是:“麻布图(Worm.Mabutu)”和“麻布图(Worm.Mabutu.b)”病毒。“麻布图”蠕虫病毒采用了多种方式收集电子邮件地址,然后向收集到的电子邮件地址大量发送病毒邮件,严重时可造成网络堵塞。通过一种比较新颖的方式收集电子邮件,该病毒可以收集到被感染用户的MSN Messenger好友的邮件地址。因为采用了这种新颖的邮件地址收集方式,病毒的传播速度很快。“麻布图变种B”跟原病毒的技术特点相似,只是修改自己的特征逃避反病毒软件的追杀。
)本日热门病毒(2004.08.02):
“麻布图/麻布图变种B(Worm.Mabutu/b)”病毒:警惕程度★★★☆,蠕虫病毒,通过邮件/P2P软件传播,依赖系统:WIN9X/NT/2000/XP。
运行后,将自己复制到%WINDOWS%目录下,文件名随机产生。修改注册表启动项,实现开机自启动。伪装成屏幕保护程序复制到Kazaa软件的共享目录下,引诱别人下载,以达到传播自己的目的。
当系统时间为7月时,病毒将尝试连接预定的mirc服务器特定频道,通知病毒散布者,该系统已被感染病毒。搜索MSN Messenger进程窗口,模拟用户的一些操作消息,从而获取MSN Messenge的联系人名单,收集电子邮件地址。
病毒还会从硬盘文件和Wab文件里提取电子邮件地址,利用自带的邮件发送引擎向其发送病毒邮件,附件为exe、zip、scr格式。大量散发的病毒邮件会给人们的正常工作造成困扰。
反病毒专家建议:建立良好的安全习惯,不打开可疑邮件和可疑网站;关闭或删除系统中不需要的服务;很多病毒利用漏洞传播,一定要及时给系统打补丁;安装专业的防毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。
Worm.Mabutu的变种。
Worm.Mabutu蠕虫病毒的主要功能模块
病毒行为:
当该模块被运行后,(Worm.Mabutu安置模块通过rundll32.exe启动)病毒将自己复制
到%WINDOWS%目录下,文件名为随机名.并在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中加入键值:
“winupdt”= RUNDLL32.EXE %病毒文件名%,_mainRD
P2P传播:
病毒通过注册表或系统system.ini里读取当前系统使用的屏幕保护程序的名字。。
并将自己的复本以屏幕保护程序的名字复制到从注册表
HKEY_USERS\.DEFAULT\Software\Kazaa\LocalContent\DownloadDir 中
读取的p2p共享目录中..诱惑用户下载以达到传播的目的。
Mirc后门:
病毒检测系统月份当为7月时病毒将尝试连上以下mirc服务器的特定频道以通知病毒
作者该系统已被感染病毒。
amsterdam.nl.eu.undernet.org ,amsterdam2.nl.eu.undernet.org ,ann-arbor.mi.us.undernet.org
arlington.va.us.undernet.org ,atlanta.ga.us.undernet.org ,auckland.nz.undernet.org
austin.tx.us.undernet.org ,baltimore.md.us.undernet.org ,brussels.be.eu.undernet.org
caen.fr.eu.undernet.org ,chat1.voila.fr ,dallas.tx.us.undernet.org ,diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org ,graz.at.eu.undernet.org ,graz2.at.eu.undernet.org ,haarlem.nl.eu.undernet.org
lasvegas.nv.us.undernet.org ,london.uk.eu.undernet.org ,los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org ,manhattan.ks.us.undernet.org ,mclean.va.us.undernet.org
mesa.az.us.undernet.org ,montreal.qu.ca.undernet.org ,moscow.ru.eu.undernet.org ,newbrunswick.nj.us.undernet.org
newyork.ny.us.undernet.org ,oslo.no.eu.undernet.org ,phoenix.az.us.undernet.org ,plano.tx.us.undernet.org
quebec.qu.ca.undernet.org ,saltlake.ut.us.undernet.org ,stockholm.se.eu.undernet.org
surrey.uk.eu.undernet.org ,toronto.on.ca.undernet.org ,vancouver.bc.ca.undernet.org
washington.dc.us.undernet.org....
邮件传播:
病毒尝试从以下途径获取email地址
1.MSN
病毒搜索msn进程的窗口,并发送一些消息模拟用户的一些操作,导出联系人。从而获取msn的
联系人名单..
2.磁盘文件
病毒搜索磁盘.TXT,.HTML,.HTM,.WAB文件,并尝试从中提取email地址
3.Wab文件
病毒从注册表:Software\Microsoft\WAB\WAB4\Wab File Name中提取系统当前使用的wab文件
并从中提供email地址.
注:病毒将过滤掉邮件地址带有以下串的地址...
sopho,panda,syman,virus,avp,kaspers,confirm,subscription,news,register
spam,secur,support,service,contact,abuse,info,nothing,anyone,nobody
.noone...somebody....someone.postmaster..mailing.mailer..webmaster....
病毒使用自己的smtp引擎,从注册表中获取的smtp服务器地址,对搜索到的mail发送带毒邮件,
进行传播。
邮件标题:
britney, Hello, I'm in love, I'm nude, Important, jenifer, Wet girls
邮件附件名:
creme_de_gruyere,details,document,Fetishes,gutted,message,Ok cunt,photo
(附件的扩展名:exe,zip,scr)
)本日热门病毒(2004.08.02):
“麻布图/麻布图变种B(Worm.Mabutu/b)”病毒:警惕程度★★★☆,蠕虫病毒,通过邮件/P2P软件传播,依赖系统:WIN9X/NT/2000/XP。
运行后,将自己复制到%WINDOWS%目录下,文件名随机产生。修改注册表启动项,实现开机自启动。伪装成屏幕保护程序复制到Kazaa软件的共享目录下,引诱别人下载,以达到传播自己的目的。
当系统时间为7月时,病毒将尝试连接预定的mirc服务器特定频道,通知病毒散布者,该系统已被感染病毒。搜索MSN Messenger进程窗口,模拟用户的一些操作消息,从而获取MSN Messenge的联系人名单,收集电子邮件地址。
病毒还会从硬盘文件和Wab文件里提取电子邮件地址,利用自带的邮件发送引擎向其发送病毒邮件,附件为exe、zip、scr格式。大量散发的病毒邮件会给人们的正常工作造成困扰。
反病毒专家建议:建立良好的安全习惯,不打开可疑邮件和可疑网站;关闭或删除系统中不需要的服务;很多病毒利用漏洞传播,一定要及时给系统打补丁;安装专业的防毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。
Worm.Mabutu的变种。
Worm.Mabutu蠕虫病毒的主要功能模块
病毒行为:
当该模块被运行后,(Worm.Mabutu安置模块通过rundll32.exe启动)病毒将自己复制
到%WINDOWS%目录下,文件名为随机名.并在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中加入键值:
“winupdt”= RUNDLL32.EXE %病毒文件名%,_mainRD
P2P传播:
病毒通过注册表或系统system.ini里读取当前系统使用的屏幕保护程序的名字。。
并将自己的复本以屏幕保护程序的名字复制到从注册表
HKEY_USERS\.DEFAULT\Software\Kazaa\LocalContent\DownloadDir 中
读取的p2p共享目录中..诱惑用户下载以达到传播的目的。
Mirc后门:
病毒检测系统月份当为7月时病毒将尝试连上以下mirc服务器的特定频道以通知病毒
作者该系统已被感染病毒。
amsterdam.nl.eu.undernet.org ,amsterdam2.nl.eu.undernet.org ,ann-arbor.mi.us.undernet.org
arlington.va.us.undernet.org ,atlanta.ga.us.undernet.org ,auckland.nz.undernet.org
austin.tx.us.undernet.org ,baltimore.md.us.undernet.org ,brussels.be.eu.undernet.org
caen.fr.eu.undernet.org ,chat1.voila.fr ,dallas.tx.us.undernet.org ,diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org ,graz.at.eu.undernet.org ,graz2.at.eu.undernet.org ,haarlem.nl.eu.undernet.org
lasvegas.nv.us.undernet.org ,london.uk.eu.undernet.org ,los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org ,manhattan.ks.us.undernet.org ,mclean.va.us.undernet.org
mesa.az.us.undernet.org ,montreal.qu.ca.undernet.org ,moscow.ru.eu.undernet.org ,newbrunswick.nj.us.undernet.org
newyork.ny.us.undernet.org ,oslo.no.eu.undernet.org ,phoenix.az.us.undernet.org ,plano.tx.us.undernet.org
quebec.qu.ca.undernet.org ,saltlake.ut.us.undernet.org ,stockholm.se.eu.undernet.org
surrey.uk.eu.undernet.org ,toronto.on.ca.undernet.org ,vancouver.bc.ca.undernet.org
washington.dc.us.undernet.org....
邮件传播:
病毒尝试从以下途径获取email地址
1.MSN
病毒搜索msn进程的窗口,并发送一些消息模拟用户的一些操作,导出联系人。从而获取msn的
联系人名单..
2.磁盘文件
病毒搜索磁盘.TXT,.HTML,.HTM,.WAB文件,并尝试从中提取email地址
3.Wab文件
病毒从注册表:Software\Microsoft\WAB\WAB4\Wab File Name中提取系统当前使用的wab文件
并从中提供email地址.
注:病毒将过滤掉邮件地址带有以下串的地址...
sopho,panda,syman,virus,avp,kaspers,confirm,subscription,news,register
spam,secur,support,service,contact,abuse,info,nothing,anyone,nobody
.noone...somebody....someone.postmaster..mailing.mailer..webmaster....
病毒使用自己的smtp引擎,从注册表中获取的smtp服务器地址,对搜索到的mail发送带毒邮件,
进行传播。
邮件标题:
britney, Hello, I'm in love, I'm nude, Important, jenifer, Wet girls
邮件附件名:
creme_de_gruyere,details,document,Fetishes,gutted,message,Ok cunt,photo
(附件的扩展名:exe,zip,scr)