|
本周提醒广大用户注意邮件蠕虫:Email-Worm.Win32.Bagle.ch,该邮件蠕虫主要通过发送含有病毒附件的邮件传播。病毒的图标具有一定的欺骗性,病毒盗用Windows Xp下.txt文件图标,诱骗用户浏览。病毒运行后首先会打开notepad.exe程序,而后修改注册表文件,添加病毒副本到启动项等,修改其中安全相关的配置,降低系统的安全性能, 病毒还会尝试终止某些反病毒软件及安全软件的进程,修改"%System%\drivers\etc\hosts"文件。病毒还会尝试下载病毒相关文件到感染主机上运行。该病毒对用户有一定的危害。
1、病毒运行后复制自身到:
%System%\winshost.exe
%System%\wiwshost.exe
2、修改注册表文件,达到随系统启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值:字串: "winshost.exe"="%System%\winshost.exe"
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
键值:字串: "winshost.exe"="%System%\winshost.exe"
3、尝试终止某些反病毒软件及安全软件的进程
4、通过遍历注册表文件,尝试删除某些反病毒及安全软件的相关键值,以达到保护自身的目的:
HKEY_LOCAL_METHINE\SOFTWARE\McAfee
HKEY_LOCAL_METHINE\SOFTWARE\KasperskyLab
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\ccApp
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\KAV50
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\APVXDWIN
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\avg7_emc
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\NAV CfgWiz
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\SSC_UserPrompt
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\McAfee Guardian
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Symantec NetDriver Monitor
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\McAfee.InstantUpdate.Monitor
......
|
内容:
病毒上报信箱: