当前位置:>>
首页
>> 重要报道 >> 正文
狡猾多端的“嘶嘶声”病毒今被江民公司成功捕获
www.jiangmin.com.cn 5/16/2003 4:04:42 PM 作者: 信息出自:江民科技
来自江民快速反病毒小组的最新消息,5月12日,一种名为“嘶嘶声”(I-Worm/Fizzer)的网络蠕虫病毒被江民公司成功捕获。该病毒集成了众多蠕虫病毒的特点,不但可以通过邮件、IRC聊天工具进行传播,而且还会记录键盘敲击,自动升级自身代码,终止很多反病毒软件的运行、查杀。其中最狡猾之处就是该病毒会加密存放许多配置数据,以使得一般的用户很难以获得其资源信息。
据江民反病毒专家介绍,该病毒为目前最为流行的一种网络蠕虫病毒,传播途径有邮件、共享目录以及后门远程控制。发送的邮件地址有随机获得的、有从WINDOWS 的OUTLOOK地址薄或者WINDOWS 的地址薄中获得,还有从自身的SMTP发送服务器地址获得。含有病毒的电子邮件表现形式非常多,可变化的有主题、主体以及附件的名称等,它们是由一个大的字符串列表变化而来。
该病毒被执行后,会在WINDOWS 目录下生成文件:
iservc.exe (该文件是蠕虫程序本身)
initbak.dat (该文件是蠕虫程序本身)
ProgOp.exe (蠕虫部分)
iservc.dll (键盘记录dll)
iservc.klg (包含键盘记录信息)
修改系统注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
增加的键是SystemInit,数值是:iservc.exe
该蠕虫修改了系统的有关TEXT文件的关联,在感染系统的机器中,只要用户打开纯文本文件即可激活该网络蠕虫程序。
修改的系统关联注册标的键数值
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@ = "%windir%\ProgOp.exe 0 7 '%windir%\NOTEPAD.EXE %1' '%windir%\initbak.dat' '%windir%\ISERVC.EXE'File" menu."
江民公司提醒用户,及时更新升级KV江民杀毒王2003至最新版本,打开六套实时监控系统,就可对此病毒进行有效地前杀和清除。另外,江民公司网站已正式推出病毒库离线增量升级包,没有条件上网的用户可以在其它机器上下载病毒库进行离线增量升级。
热门产品