|
本周提醒广大用户警惕邮件蠕虫:Email-Worm.Win32.Doombot.a,该病毒主要通过查找windows地址簿和一些常见扩展名文件来获得邮件地址,而后发送含有病毒附件的邮件进行传播。病毒运行后会复制自身到系统目录下,修改系统的注册表文件,病毒运行后还会遍历感染系统的当前进程,若发现系统中存在反病毒、安全类软件,便将其终止,病毒还会修改系统的hosts文件,阻止用户升级反病毒库或下载专杀工具。
病毒首次运行后复制自身到:%System%\winsvc.exe
修改注册表文件,达到随系统启动的目的:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\Run
键值:字串:"WINDOWS SVC"="winsvc.exe"
HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
键值:字串:"WINDOWS SVC"="winsvc.exe"
停止Shared Access服务:
HKEY_LOCAL_METHINE\System\CurrentControlSet\Services\SharedAccess
键值:字串:"Start"="4"
修改%System%\drivers\etc\hosts文件,在hosts文件中添加以下内容:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
......
详细分析请看:(Email-Worm.Win32.Doombot.a分析)
安天应急处理小组郑重提醒用户的是:
1.不要轻易打开来历不明的邮件,尤其是邮件的附件,防止系统被邮件蠕虫、网络蠕虫等病毒感染,不要随便登录不明网站。
2.即时安装木马防线,木马防线全自动升级,可以为你的系统提供透明的保护。
|
内容:
病毒上报信箱: