基本介紹
病毒危害,發現清除,解決方案,預防措施,作者相關,
病毒危害
它通過區域網路傳播,查找區域網路上的所有計算機,並試圖將自身寫入網上各計算機的啟動目錄中以進行自啟動。該病毒一旦運行,在計算機聯網的狀態下,就會自動每隔兩小時到某一指定網址下載病毒,同時它會查找電腦硬碟上所有郵件地址,向這些地址傳送標題如:"Re: Movies"、"Re: Sample"等字樣的病毒郵件進行郵件傳播,該病毒還會每隔兩小時到指定網址下載病毒,並將用戶的隱私發到指定的信箱。由於郵件內容的一部分是來自於被感染電腦中的資料,因此有可能泄漏用戶的機密檔案,特別是對利用區域網路辦公的企事業單位,最好使用網路版防毒軟體以防止重要資料被竊取!
大無極病毒
大無極病毒發現清除
病毒的發現與清除:
大無極病毒⒉病毒會修改註冊表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加鍵值WindowsMGM鍵,該鍵值的內容是病毒的檔案路徑,這樣在下一次啟動計算機時,病毒會自動運行。
⒊病毒會遍歷區域網路,並嘗試把自己複製到其它計算機的Windows\All Users\Start Menu\Programs\StartUp\及Documents and Settings\All Users\Start Menu\Programs\Startup,用戶可以查看這些目錄。
⒋用戶會傳送病毒郵件進行網路傳染,病毒會建立標題為:"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample",附屬檔案為:"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"的病毒郵件。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“大無極” (Worm.Sobig)病毒。用戶可以手工刪除以上提到的病毒檔案和註冊表鍵值,但如果要想完全清除該病毒造成的影響,最好還是選用防毒軟體進行清除。
解決方案
二、在註冊表編輯器:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中將鍵值:WindowsMGM刪除。
預防措施
打開郵件監控
大無極病毒區域網路用戶進行全網查毒
病毒變種介紹——大無極變種(Worm.sobig.b)
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
感染對象:區域網路
病毒介紹
該病毒除了通過郵件、區域網路進行快速傳播以外,它還會在後台連線病毒指定的四個網站,在這四個網站上下載病毒檔案並運行,這樣以來,大大增加了該病毒的擴展性。如果病毒作者將該病毒的更新版本放入網站,那么被感染計算機上的病毒就會不定時地升級自身,完成新的變形,使反病毒軟體無法查出;如果病毒作者直接將一些木馬病毒放入這些網站,則被感染計算機上的病毒就會成為這些病毒的幫凶,因此,該病毒對企事業單位有更大的危害性。
病毒的發現與清除
CurrentVersion\Run啟動項中添加鍵值System Tray,該鍵值的內容是病毒的檔案路徑,這樣在下一次啟動計算機時,病毒會自動運行。
⒊ 病毒會遍曆局域網,並嘗試把自己複製到其它計算機的Windows\All Users\Start Menu\Programs\StartUp\及Documents and Settings\All Users\Start Menu\Programs\Startup,用戶可以查看這些目錄。
Your details | Approved (Ref: 38446-263) | Re: Approved (Ref: 3394-65467) | Your password |
Re: My details | Screensaver Cool screensaver | Re: Movie | Re: My application |
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“大無極變種” (Worm.Sobig.b)病毒。
瑞星的反病毒工程師在分析該病毒時發現,該病毒體內有一段時間判斷代碼。這在近期發現的病毒中是極其少見的,更為奇怪的是,這段時間判斷代碼不是病毒發作的條件,而是病毒對自身傳播的限制條件,當系統時間大於2003年6月8日時,病毒將自動停止傳播。
探究病毒“自殘”的原因,瑞星資深反病毒專家分析說:“從病毒編寫邏輯上講,病毒作者肯定是希望其編寫的病毒能夠廣泛傳播,而這個病毒的一反常態,顯示了一個危險的信號,就是該病毒只是一個測試版本,不久的將來,病毒編寫者還會推出更厲害的新版本”。一般病毒編寫者僅僅進行病毒編寫,不會分階段地進行測試,而這個大無極病毒變種6月8日自動失效的這個特性,表明了病毒編寫已經進入“標準化”、“流程化”的正規階段,這說明了一個新的病毒時代即將到來,而反病毒廠商的反病毒之路則更加艱辛。
“大無極變種C”的特徵如下:
一 拷貝自身
二 加密自身數據
該病毒對其體內的字元串進行了加密處理,增加了病毒分析的難度。
三 感染區域網路
病毒會搜尋本地區域網路資源,並試圖將病毒檔案複製到區域網路計算機中的:c$,d$,e$共享下的Windows\All Users\Start Menu\Programs\StartUp及Documents and Settings\All Users\Start Menu\Programs\Startup目錄,增大病毒啟動機會。
四 郵件傳播
郵件的標題可能為: | 病毒郵件的附屬檔案名可能為: |
Re: Submited (004756-3463) | screensaver.scr |
Re: Your application | submited.pif |
Re: Movie | documents.pif |
Re: 45443-343556 | movie.pif |
Re: Application | 45443.pif |
…… | application.pif |
沒有安裝防毒軟體的用戶要注意這此標題與附屬檔案的郵件。
病毒變種介紹——大無極變種D(Worm.SoBig.d) 警惕程度:★★★☆
發作時間:隨機
病毒類型:蠕蟲病毒
感染對象:郵件
依賴系統: WIN9X//NT/2000/XP
病毒介紹
大無極變種D(Worm.SoBig.d)病毒於2003年6月19日被瑞星全球反病毒監測網截獲,該變種是大無極病毒家族的第4代成員,在病毒編寫技術上雖然同上幾代病毒區別不大,但鑒於大無極變種B版和C版等變種已經在網路上小範圍泛濫,如果不及時防範,該變種病毒很可能會使系統再次面臨被病毒感染的威脅。
病毒特性
一、拷貝自身到windows目錄
病毒會將自身拷貝到%Windir%目錄中(默認為:c:\windows或c:\winnt),並命名為:Cftrb32.exe,然後建立兩個配置檔案:dftrn32.dat 、rssp32.dat。
二、 修改註冊表自啟動
病毒運行時會修改註冊表的自啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中添加一個名為:"SFtrb Service",內容為:"%Windir%\cftrb32.exe"的鍵值,當系統重啟時,病毒便會自動運行。
當計算機連線在網路中時,病毒便會通過計算機連線,將自身拷貝到區域網路中的其它計算機中的:Windows\All Users\Start Menu\Programs\StartUp 目錄和Documents and Settings\All Users\Start Menu\Programs\Startup目錄,當區域網路中被感染的計算機重啟時,病毒便會自動運行,在區域網路中的其它計算機中激活。
四、通過郵件傳播
病毒郵件的標題為以下幾種可能: | 病毒郵件的附屬檔案為以下幾種可能: |
Re: Documents | Document.pif |
Re: App.00347545-002 | app003475.pif |
Re: Movies | movies.pif |
Application Ref: 456003 | ref_456.pif |
Re: Your Application (Ref: 003844) | Application844.pif |
Re: Screensaver | Screensaver.scr |
Re: Accepted | Accepted.pif |
Your Application | Applications.pif |
…… | Application.pif |
病毒變種介紹——大無極變種E(Worm.SoBig.E) 警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:郵件/區域網路
感染對象:區域網路
依賴系統: WIN9X//NT/2000/XP
病毒介紹
於2003年6月19日被瑞星全球反病毒監測網截獲,該病毒是目前大無極病毒家族中最厲害的一個變種,其傳播範圍與傳播速度都超過了其它變種。病毒運行後會將自身複製到系統目錄下,並修改註冊表進行自啟動。然後感染區域網路中的計算機,將自已放入啟動目錄,導致全網帶毒,病毒還會搜尋用戶的mail地址,向外大量傳送郵件,使網路癱瘓。
病毒的發現與清除
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
⒉病毒運行時會修改註冊表的自啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中加入名稱為:SSK Service, 內容為:%Windir%\winssk32.exe的鍵值,以便下次系統啟動時病毒能自動運行。用戶可以用REGEDIT工具,將該病毒鍵值直接刪除,使病毒無法啟動。
⒋ 病毒會搜尋區域網路中的計算機,如果發現有默認共享的計算機,則病毒會將自身拷貝到這些計算機中的:Windows\All Users\Start Menu\Programs\StartUp、Documents and Settings\All Users\Start Menu\Programs\Startup目錄中。用戶可以檢查一下這些目錄,看是否存在上面提到的病毒體,如果有則可以直接清除。
郵件的發信人可能為:support@ yahoo . com
郵件的標題可能為:
·Re: Application | ·Re: Movie | ·Re: Movies |
·Re: Submitted | ·Re: ScRe:ensaver | ·Re: Documents |
·Re: Re: Application ref 003644 | ·Re: Re: Document | ·Your application |
·Application.pif | ·Applications.pif | ·movie.pif |
·Screensaver.scr | ·submited.pif | ·new document.pif |
·Re: document.pif | ·004448554.pif | ·Referer.pif |
郵件的附屬檔案可能為:
your_details.zip | application.zip | document.zip | screensaver.zip | movie.zip |
沒有安裝防毒軟體的用戶如果收到這樣的郵件,則可以直接刪除這此郵件。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了大無極變種E(Worm.SoBig.E)病毒。
瑞星反病毒專家的安全建議
⒈ 建立良好的安全習慣。例如:對一些來歷不明的郵件及附屬檔案不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經防毒處理的軟體等,這些必要的習慣會使您的計算機更安全。
⒎ 最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、遇到問題要上報,這樣才能真正保障計算機的安全。
病毒變種介紹——大無極變種F(Worm.SoBig.F) 警惕程度:★★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:網路/郵件
依賴系統: WIN9X/NT/ 2000/XP
病毒介紹
一、郵件傳播能力非常強。病毒作者在原來病毒的基礎上,做了改良,使得“大無極變種F”病毒不但會搜尋地址簿中的郵件地址,還能從網頁檔案中尋找存在的郵件地址,病毒甚至還能直接在郵件中尋找相關的郵件地址,這些特性大大增強了病毒的郵件傳播能力,從而使該病毒能在短時間內就大量泛濫。
二、病毒的區域網路傳播能力很強。病毒運行時會尋找區域網路中的其它計算機,找到後便會將自己複製到這些計算機的啟動目錄,在下次重啟時,這些計算機中的病毒便會被自動激活,然後形成連鎖反應,同時向外大量傳播並迅速耗盡郵件伺服器資源。
三、病毒具有自我升級能力。反病毒工程師還發現,該病毒運行時還會通過網路直接與外界的病毒製造者進行溝通,並通過網路直接將自身升級,這樣就可以在傳播的過程中完成變異,形成一個新的變種病毒,繼續在網路上泛濫。
病毒的發現與清除
⒈ 病毒運行時會參記憶體中產生一個名為:“WINPPR32”的病毒進程,用戶可以用任務管理器(CTRL+SHIFT+DELETE)或第三方記憶體編輯工具來找到該病毒進程,並將這個進程殺掉。
注意:%Windir%是一個變數,它指的是作業系統安裝目錄,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝作業系統時指定的其它目錄。%systemdir%是一個變數,它指的是操作系統安裝目錄中的系統目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”。
⒊ 病毒會修改註冊表的HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項,在其中加入“TrayX ="%WINDIR%\winppr32.exe /sinc"的病毒鍵值,用戶可以用REGEDIT 工具直接刪除該病毒鍵值來避免病毒的自啟動。
⒍ 病毒帶有後門,將打開下列連線埠:995/udp、996/udp、997/udp、998/udp、999/udp病毒會監聽來自這些連線埠的UDP報文,並分析它,如果是病毒服務發來的升級信息,則病毒用將自己自動更新。
⒏ 該病毒會以下內容的病毒郵件,用戶如果發現,則可以直接將這些郵件刪除。
病毒郵件的主題為以下幾種可能: | 附屬檔案名為以下幾種可能: |
Re: Thank you! | your_document.pif |
Thank you! | document_all.pif |
Your details | thank_you.pif |
Re: Details | your_details.pif |
Re: Re: My details | details.pif |
Re: Approved | document_9446.pif |
Re: Your application | application.pif |
Re: Wicked screensaver | wicked_scr.scr |
Re: That movie | movie0045.pif |
訊息正文為以下幾種可能:
Please see the attached file for details. | See the attached file for details |
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了大無極變種F(Worm.Sobig.F)病毒。
大無極”變種病毒造成路由器阻塞
公司的區域網路有40台計算機,ISP是中國網通,網通將光纜鋪設進大樓,大樓內由ISP架設區域網路到樓內各公司的網路或單機進行網際網路服務,公司通過路由將線路連通,實現內部區域網路和網際網路、區域網路間的VPN以及與總公司的IP電話通訊,大致布局見圖。
故障症狀
區域網路內所有客戶端訪問網際網路或收發電子郵件、VPN訪問、IP電話均出現時通時不通的現象,而通也是很短暫的,不通的現象更廣泛。區域網路內的互訪正常,電子郵件服務系統工作良好,交換機的信號燈閃爍也很正常,但路由器的信號燈不停地快速閃爍,就像在下載巨大檔案(在使用VOIP時,路由器信號燈時會快速地閃爍)。
分析診斷
出現這樣的情況時,首先關閉整個網路,重新開機。此時,上述故障消除,但不久又故伎重演。既然是路由器信號燈出現異常,會不會是ISP端有問題?拔下ISP提供的連線線,信號燈正常,插上不多時又重現故障,這樣,問題的重心就轉移到這到底是由內部引起還是外部造成的。用一台筆記本電腦設定好ISP的參數,將ISP提供的連線網線插上,現在瀏覽網頁、收發電子郵件十分正常,問題顯然出在內部客戶端或者路由器上。
經過更換路由器,故障依舊,問題一下就集中在內部局網中的客戶端了,將筆記本電腦連線到區域網路中,Ping路由器的局域端IP位址,發現不通,重新開關路由器,再Ping路由器的局域端IP位址,通了,繼續幾下又不通了,再開關路由器並在Ping命令中加入參數t連續Ping路由器的局域端IP位址,發現顯示用時從time<10ms到Pequest timed out的過程是指數級擴大,而且通過次數只有六七次。
解決方法
總結
作者相關
蓋茨懸賞50萬 聯手FBI通緝衝擊波和大無極病毒作者
自2003年8月11日以來,“衝擊波”和“大無極”病毒給全世界帶來了巨大的麻煩,蠕蟲肆無忌憚的挑戰導致了至少50萬台電腦的崩潰,並嚴重阻塞了整個網際網路的正常運作。時至今日,美國當局仍然只是對六位“衝擊波”病毒變種作者中的三位有所了解,而兩大病毒的源作者則依然游離於法網之外。
此次,全球首富蓋茨以美國西部警匪片的特有風格貼出了這張緝匪告示,可見“衝擊波”與“大無極”這兩牛仔哥們一定讓微軟腰包進帳損失了不少,不過話說回來,蓋茨若是不出此招,今後恐怕也難以服眾。
Sobig.F病毒能賺錢!病毒作者還會推出新變體
Sobig系列病毒是在2003年1月開始首次傳播的。這種病毒攜帶一種特殊的軟體,能夠匿名向人們的電腦傳送垃圾電子郵件。成千上萬台計算機被這種病毒感染之後能夠被大量的電子郵件傳送者用來傳送不能被跟蹤的垃圾郵件。
F-Secure安全公司負責防毒研究的經理Hypponen表示,這個病毒策劃周密、設計完美而且執行起來非常好。他認為,這個病毒的作者很可能向垃圾郵件製造者出售被這種病毒感染的計算機目錄。我們還第一次看到編寫病毒有這樣好的動機:賺錢。
安全專家表示,Sobig也許是第一個用來賺錢的病毒。這就意味著編寫這種病毒最新變體的團伙或者個人不會就此罷手。新的病毒變體將很快出現。儘管執法部門在努力追查這種病毒的作者,但是,這些作者知道如何使用代理伺服器,要抓到他們可能也不太容易。
據Easynews.c添加內容,圖片,概述,修改目錄om網站稱,病毒的作者在Usenet新聞組中貼出了一個攜帶這種病毒黃色照片,於是這個病毒就傳播出去了。貼出這個黃色照片的網路用戶帳號是用偷來的信用卡辦的。
美國聯邦調查局對此訊息沒有發表評論。
