光华反病毒资讯(11月20日－11月26日)

    光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介：

    一、W32病毒：W32.Spybot.ALRD 危害级别：★★★★☆

    根据光华反病毒研究中心专家介绍，这是一个W32病毒，长度 53,675 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它通过网络共享、弱口令和系统漏洞传播，打开后门破解网络保护功能，降低安全设置。当收到、打开此病毒时，有以下现象:

A 在windows目录下创建文件services.exe
B 注册自身为系统服务
  显示名称: Services an controller-settings
  执行路径: %Windir%\\services.exe
  类型: Automatic
  使得病毒每次开机后自动执行
C 在下列位置建立服务键值
  HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Services an controller-settings
  HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_SERVICES_AN_CONTROLLER-SETTINGS
  HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Services an controller-settings
  HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\LEGACY_SERVICES_AN_CONTROLLER-SETTINGS
D 增加键值"SFCScan" = "0"到
  HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
E 增加键值"[随即字母M]" = "[当前日期和时间]"
  HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions
F 修改注册表 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa 的键值 "restrictanonymous" = "1" 降低安全设置
G 修改注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole 的键值 "EnableDCOM" = "N" 关闭DOCM
H 修改注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center  的键值
  "AntiVirusDisableNotify" = "1"
  "AntiVirusOverride" = "1"
  "FirewallOverride" = 1
  "UpdatesDisableNotify" = "1"
  "FirewallDisableNotify" = "1"
  降低安全设置
I 修改注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WindowsUpdate\\AutoUpdate
  的键值 "AUOptions" = "1"
  关闭自动更新
J 修改注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\WindowsFirewall\\DomainProfile 和
  HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\WindowsFirewall\\StandardProfile的键值
  "enablefirewall" = "0"  降低安全设置
K 修改注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate 的键值
  "DoNotAllowXPSP2" = "1"
  禁止SP2更新
L 修改注册表HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control  和
  HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control的键值
  "WaitToKillServiceTimeout" = "7000"
  减少服务等待时间
M 修改注册表 KEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Hardware Profiles\\0001\\Software\\Microsoft\\windows\\CurrentVersion\\Internet Settings 和
  HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Hardware Profiles\\Current\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings 的键值
  "ProxyEnable" = "0"  降低安全设置
N 修改注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 的键值
   "SFCDisable" = "ffffff9d"   降低安全设置
O 修改注册表 HKEY_CURRENT_CONFIG\\Software\\Microsoft\\windows\\CurrentVersion\\Internet Settings 的键值
  "ProxyEnable" = "0" 降低安全设置
P 修改注册表 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RemoteRegistry
  HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TlntSvr
  HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Messenger
  HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wscsvc
  HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Messenger
  HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\RemoteRegistry
  HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\TlntSvr
  的键值 "Start" = "4"
  停止有关的服务，包括：安全中心、远程注册表访问、信使、远程登录等
Q 修改注册表 HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
  HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System 的键值
  "DisableRegistryTools" = "1"
  禁止注册表编辑
R 修改注册表 HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
  HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System 的键值
  "DisableTaskMgr" = "1"
  禁止任务管理器
S 修改 sfc.dll 文件，禁止系统文件保护
T 修改  tftp.exe 和 ftp.exe ，允许黑客获取染毒计算机上的任意文件
U 修改 tcpip.sys 文件，去除网络连接限制
V 打开后门连接到 IRC 服务器，等待黑客以下命令
  下载上传任意文件
  端口扫描
  创建结束进程线程
  更新DNS缓存
W 通过 AOL 发送自身给所有联系人，试图传播
X 通过网络共享、弱口令和系统漏洞传播
  病毒识别利用以下漏洞
  MS03-049 http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx
  MS04-011 http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
  MS03-026 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
Y 搜索 MS SQL 服务器，利用弱口令传播

    二  木马病毒 Trojan.SpamThru 危害级别：★★★★☆

    根据光华反病毒研究中心专家介绍，这是一个木马病毒，长度 161,280 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个木马病毒自动发送大量垃圾邮件，禁用安全网站，当含有病毒的文件被打开时，有以下现象:

A 在系统目录下创建随机名称的.dll文件
B 增加键值 "(default)" = "[随机名称的.dll文件]" 到
  HKEY_CLASSES_ROOT\\CLSID\\(2C1CD3D7-86AC-4068-93BC-A02304BB8C34)\\InProcServer32
C 增加键值 "{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}" = "DCOM Server 2240"
  到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\SharedTaskScheduler
D 增加键值 "DCOM Server 2240" = "{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"
  到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad
E 连接 65.19.154.71
F 自动发送大量垃圾邮件
G 修改DNS 解析文件，禁用以下安全网站
　127.0.0.1 www.trendmicro.com
　127.0.0.1 rads.mcafee.com
　127.0.0.1 customer.symantec.com
　127.0.0.1 liveupdate.symantec.com
　127.0.0.1 us.mcafee.com
　127.0.0.1 updates.symantec.com
　127.0.0.1 www.nai.com
　127.0.0.1 secure.nai.com
　127.0.0.1 dispatch.mcafee.com
　127.0.0.1 download.mcafee.com
　127.0.0.1 www.my-etrust.com
　127.0.0.1 mast.mcafee.com
　127.0.0.1 ca.com
　127.0.0.1 www.ca.com
　127.0.0.1 networkassociates.com
　127.0.0.1 www.networkassociates.com
　127.0.0.1 avp.com
　127.0.0.1 www.kaspersky.com
　127.0.0.1 www.avp.com
　127.0.0.1 downloads4.kaspersky-labs.com
　127.0.0.1 downloads3.kaspersky-labs.com
　127.0.0.1 downloads2.kaspersky-labs.com
　127.0.0.1 downloads1.kaspersky-labs.com
　127.0.0.1 www.f-secure.com
　127.0.0.1 viruslist.com
　127.0.0.1 www.viruslist.com
　127.0.0.1 liveupdate.symantecliveupdate.com
　127.0.0.1 www.mcafee.com
　127.0.0.1 sophos.com
　127.0.0.1 www.sophos.com
　127.0.0.1 securityresponse.symantec.com
　127.0.0.1 www.symantec.com
 
    北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到11月20日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。