近期病毒预报!

  在"震荡波"出现后,近期又出现了"震荡波"变种E和"震荡波清除者"病毒。
  病毒名称:"震荡波清除者"(Worm_Cycle.A)
  感染系统: Win2000/WinXP/Win2003/Win NT 4.0
  病毒长度:10,240字节(UPX压缩)
  病毒特征
  1、生成病毒文件
  病毒在system目录下生成自身的拷svchost.exe,还在indows目录下生成文件cyclone.txt。
  2、修改注册表项
  病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建
"Generic Host Service"="%system\svchost.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建
"Generic Host Service"="system\svchost.exe"
  3、通过系统漏洞主动进行传播
  病毒在在TCP/3332端口开启后门服务,接受连接,在UDP/69端口上运行一个TFTP服务器下载蠕虫副本。病毒对外连接随机产生主机的TCP/445端口,去感染其他的主机。
  4、终止进程
  病毒会终止以下进程,msblast.exe、avserve.exe、avserve2.exe和skynetave.exe,这些进程是"冲击波"、"震荡波"病毒及他们的变种创建的。
  5、发动DoS攻击
  当系统时间为5月18日,病毒将对网站www.irna.com 和www.bbcnews.com发动DoS攻击。

  预报病毒名称:"震荡波"变种E(Worm_Sasser.E)
  感染系统: Win2000/WinXP
  病毒长度:16,384字节
  病毒特征
  1、生成病毒文件
  病毒运行后,在ystem%目录下生成自身的拷贝,名称为LSASSS.EXE。
  2、修改注册表项
  病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
"LSASSS.EXE" = ystem\LSASSS.EXE
  3、通过系统漏洞主动进行传播
  病毒通过在已被感染的机器上开启TCP端口1023建立一个FTP服务器(机器A),用来作为感染其它机器的服务器。并通过TCP445端口扫描随机的IP,当发现存在漏洞的系统连接成功时,被感染的计算机(机器A)向连接成功的机器(机器B)发动攻击,被攻击的计算机(机器B)将会自动连接已被感染计算机(机器A)的1023端口并通过FTP下载蠕虫的拷贝。数据包会运行一个可打开1022端口的远程壳。
  4、危害性
  受感染的系统可能会出现倒计时对话框,频繁重新启动,系统运行速度明显减慢或死机,上网只能持续很短时间就无法浏览甚至断网等现象。病毒会对网络性能有一定影响,尤其局域网可能造成网络瘫痪。
  清除该病毒的相关建议:
  1、安全模式启动
  重新启动系统同时按下按F8键,进入系统安全模式
  2、注册表的恢复
  点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,
并删除右侧面板中的"LSASSS.EXE" = ystemRoot\LSASSS.EXE
  3、删除病毒释放的文件
  点击"开始--〉查找--〉文件和文件夹",查找文件"LSASSS.EXE",并将找到的文件删除。
  4、安装系统补丁程序
  到以下微软网站下载安装补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx 或者在IE浏览器的工具->Windows Update升级系统。
  5、重新配置防火墙
  重新配置边界防火墙或个人防火墙,关闭TCP端口1022和1023。

  本周发作
  病毒名称:"生日快乐" (Troj_YerHS)
  病毒类型:特洛伊木马病毒
  发作日期:5月22日
  危害程度: 22日,病毒会弹出一个对话框,对话框的标题为 "You are my Best Friend"(你是我最好的朋友),内容为"Happy Birthday Dear"(生日快乐,亲爱的)。

  病毒名称:"里拉"(Worm_Livra.A)
  病毒类型:蠕虫病毒
  发作日期:5月24日
  危害程度:24日,病毒会打开网页http://www.avril-lavigne.com,在屏幕中央显示椭圆图案,并在屏幕的左上角显示以下信息"AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg"

  专家提醒
  1、目前,不少病毒可以通过局域网进行,建议在局域网内只将共享资料夹给某些有需要的特定使用者,而不要将整个硬盘共享,并将所有要共享的文件设定成只读模式。减少病毒传播的途径。
  2、很多网络病毒就通过猜测简单密码的方式对系统进行攻击,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全系数。
  3、购买和安装正版的杀毒软件和个人防火墙,并根据自身需求做好相应的设置,使其充分发挥作用。同时,要定期升级杀毒软件和防火墙,并启动"实时监控"功能。