病毒盛开的六月——五月底到六月初新病毒综述
关键词: Worm.Viking logo_1.exe ravmone.exe刚进入六月,天气已经像七月似乎的热了一把。而病毒们也不甘落后,曾经的一个国产感染型病毒最近又突然冒出了新芽,从五月底开始陆续收到用户的报告,发现自己的机器中出现logo_1.exe这样的文件,一看便知这是一个前几年就流行过的一个捆绑型木马。(现在把他归为worm,蠕虫类型了)
依稀记得几年前的版本感染程序的流程是:找到一个可执行文件(EXE,DLL等)这里假设为a.exe。
病毒先生成一个a.tmp文件,把a.exe的内容复制到a.tmp中,然后把病毒感染代码插入到a.tmp文件的最后位置。最后删除a.exe,重命名a.tmp为a.exe。至此完成感染过程。
这次最新的变种,可能还是这样的工作流程,不过几年前的小病毒,如今又更新换代再次侵袭国内的众多电脑用户,不得不感慨现在的电脑用户的安全防范意识还是太淡薄了。
我收到logo_1.exe和cisrt组成员小陌收到的样本MD5值不尽相同。
*文件名:Logo1_.exe
*Md5值:fa437f11edd59e44e0ba0f9ea9bfc1ad
*命名: Worm.Viking.o(瑞星),Worm.Viking.v.27111(毒霸),Worm.Win32.Viking.j (AVP),W32/Gavir!worm(Fortinet)
继viking后,最近在各大高校间还流行着一个通过U盘进行传播的病毒。病毒的文件名是RavMonE.exe,该病毒最近传播、感染速度特别快。感染病毒的症状:会向u盘写入,通过u盘传播。在一些打印、复印店里更是传播的极快。不过可惜到目前为止,在小do我工作的学校还没有此类病毒。可能因为是初中的缘故,电脑的使用率有限,所以病毒暂时还没有感染。不过相信,依该病毒的传播速度,不出几日就会出现在我们学校某位老师的U盘中的
另外最近还有一个QQ尾巴病毒,中毒后向好友发送的中毒信息非常的狡猾!
该病毒利用了一个非常非常长的域名(至少是我目前见到的最长的域名了):
hXXp://www.qq.com.search2.shtml.cgi-client-entry.photo.99mp3.net/qq%E5%83%8F%E5%86%8C2/
注意:不要进入该网址,该网址带毒。此处是用作说明用。
注意:不要进入该网址,该网址带毒。此处是用作说明用。
粗一看,www.qq.com.search2.shtml还以为是QQ搜索页面。但是再仔细看看这个长长的域名,才发现ww.qq.com后不是/而是一个点。原来,该域名的实际地址是www.qq.com.search2.shtml.cgi-client-entry.photo.99mp3.nxt,是不是很长?
如果不仔细看,一定会以为是QQ的网址。病毒作者还是利用了大部分电脑用户对于电脑知识,特别是互联网相关知识的匮乏,伪造了一个看似是QQ网站搜索页面的假地址。
如果不仔细看,一定会以为是QQ的网址。病毒作者还是利用了大部分电脑用户对于电脑知识,特别是互联网相关知识的匮乏,伪造了一个看似是QQ网站搜索页面的假地址。
好了,说了这么多,希望大家能及时升级杀毒软件,不要乱点好友发来的,自己不熟悉的网站地址,以免中毒造成损失。
Trackback
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=5160393