worm.tanatos.5632有谁认得这个病毒!!怎么彻底清除!!!
解决方案 »
- Delphi传递数组到WCF后变为Null
- floattostr问题
- DELPHI日期转换 ?
- TWWDBGRID的超难问题!显示的一列怎么根据列的值设置不同的Alignment属性?
- 怎样给一段语音数据加上WAV文件头?
- 100分的问题,然道真的就没有人能解答吗? 如果分不够我再加!进来有分!
- 请教几个窗口扩展风格常量的含义。
- delphi 控件 (急)
- 请教高手指点一下:分别用delphi7与vb.net or vc.net开发出来的数据库程序能否打包生成一个安装程序?
- 毕业设计要用D2007做个企业用的短信和邮件服务器
- 请大侠将下面的VC改为delphi,谢谢了。愿用100分
- 怎样将查询的结果在RAVE报表中打印出来?
如果实在不行,也简单,fdisk ……
KAV00131.UPD add-on detects and cures 157 viruses: Worm.Gfleming.53248,Hack.RealSys.247808,Trojan.Sckiss.198656,Worm.Opasoft.28672, BAT.Duke.1443, BAT.Loki, BackDoor.Amatis.11 (1,2), BackDoor.AntiLame.20 (8), BackDoor.DSNX (2), BackDoor.GSpot.20 (5), BackDoor.Generic.113, 114, 115, 116, BackDoor.Kpager.30 (1-4), BackDoor.Pest.40 (1-4), BackDoor.RemHack.15 (4,5), BackDoor.Venom.20(1,2), 21(1,2), BackDoor.Zhuan, FDOS.Buwah.11264,FDOS.Neon.20, FDOS.Shockwave, HLLP.Metra.6161, HLLW.Petik.36812, IRC.Sdbot.34848, Kela.1931, Lapiddan.457,Linux.Mworm.43776,Linux.Slapper (3-7), Linux.Slapper.19050, 37237, Nuke.Muerte, Nuke.Peps.14848, Parasite.1499, Scout.589, Trojan.HDDKill.2936, Trojan.KillBoot.1488,Trojan.KillFiles.50162,Trojan.MulDrop.103,Trojan.SecMutex, Trojan.PWS.AntiLame.11 (2), Win32.HLLM.Ameter.10752, Win32.HLLP.Energy.24576, Win32.NET.Flatei.3584,5120,5124,5632,6144, Win32.HLLW.Energy(2),W97M.Jackie(4), Trojan.Teufel.39632,Win32.Opasoft.25088,27136,28672(2),Win32.HLLM.Bugbear(1,2), Win32.HLLW.Opasoft, Hack.Glacier22C.l, Hack.Glacier22.l, Win32.HLLW.Hurt.24064, BackDoor.AntiLame.12 (6), BackDoor.BlackRat.155 (1,2), BackDoor.China.11 (1-3), BackDoor.Cuhmap, BackDoor.GSpot.20 (3,4), BackDoor.Generic.109, 110, 111, 112, BackDoor.IRC.Zombie (1-4), BackDoor.Inter.10, BackDoor.Irapture.100 (1,2), BackDoor.Laocoon.10 (1-3), BackDoor.Pest.31 (1-7), BackDoor.Provider (3), BackDoor.R3C.125,145,BackDoor.Remote.22,BackDoor.Retribution.26,HLLP.Nazi.8665, BackDoor.Silent.10 (1-3), BackDoor.Vagr.12 (1,2), BackDoor.XLog.22 (1,2), HLLC.Rider.5968,IRC.Sdbot.5(2),Trojan.Choselek,Trojan.Combo.60,Trojan.PWS.Fick, Linux.Slapper(2),Linux.Slapper.59524,Trojan.PWS.Ajan.20, Win32.HLLM.Generic.87, Trojan.PWS.Sels (1-4), Trojan.PWS.Dewin, Trojan.PWS.GWGhost.20 (1-3), 21, 22, Trojan.PWS.Hata, Trojan.PWS.Hooker, Trojan.PWS.Iceman,Trojan.PWS.Julia.32(1-3), Trojan.PWS.Isphack,Trojan.PWS.Leshiy,Trojan.PWS.Netcfg(1,2),Trojan.PWS.Rist.20, Worm.Tanatos.5632,Win32.HLLM.Canapa.58075. 补充说明
有关升级包的更详细的说明请点击这里!
您可以直接匿名FTP访问 ftp://www.duba.net下载升级。
如果您发现有什么错误链接,请到金山毒霸安全论坛金山毒霸网站讨论版报告。
北京江民公司的快速病毒反应小组发现国内出现一种新的网络蠕虫。经过分析和其他的网络蠕虫一样,这个网络蠕虫同样是通过邮件来传播的。可以感染的系统包含流行的所有WINDOWS操作系统。同时该蠕虫还能通过网络的共享目录来传播(目前的大多数网络蠕虫都有类似的性质),同时该病毒还含有后门、黑客程序的性质,能记录用户的键盘操作(该病毒使用的计算机端口是36794),从这点上来看它具有传统的黑客程序的性质(比如bo等),另外该网络蠕虫和最新广为流传的求职信一样,还能删除在内存中运行的不同的流行的反病毒程序和防黑客程序。
该网络蠕虫使用VC6编写,并使用UPX压缩过。压缩后的网络蠕虫的大小是50688字节,这个大小也是受感染用户接收到的附件病毒文件的大小。用来传播的网络蠕虫往往有双扩展名称,尽管文件名称是变化的,但是文件扩展名通常是exe、scr或者pif 三种中的任意一种。 之所以称该网络蠕虫为I-Worm/Tanatos,是因为在该网络蠕虫的代码内含有字符串Project Tanatos,中文名称"妖怪"是因为该病毒有非常多的病毒特性、黑客程序特性、破坏性等,其实简单说它是病毒或者网络蠕虫或者黑客程序不是够的。 该网络蠕虫(也称Bugbear病毒)的具体特点是: (1)感染系统:Windows 95/98/ME/2000/XP/NT等,不管系统是中文的还是英文的。 (2)病毒文件大小:50688字节;黑客程序部分使用的计算机端口是36794。 (3)对系统影响:(a)拷贝自身到系统目录和系统启动目录下,以随机的EXE文件存放。系统目录是该网络蠕虫自动获得的,系统启动目录则有所不同,Windows 95/98/ME系统是c:\windows\Start Menu\Programs\Startup 而Windows NT/2000/XP系统是c:\Documents and Settings\<user name>\Start Menu\Programs\Startup;
(b)建立文件:系统目录下建立3个dll 文件,WINDOWS目录下建立2个dat文件。在建立的dll文件中的一个可以监控用户的键盘操作和鼠标的动作。该dll文件正是该网络的黑客程序部分。
(c)修改系统注册表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce ,在注册表中增加以网络蠕虫为名称的任意注册表键值;
(4)对系统的破坏:
(a)对于不同的系统采用不同的方法来删除系统中已经运行的反病毒以及黑客程序。其中的典型的有:
Zonealarm.exe
Wfindv32.exe
Webscanx.exe
Vsstat.exe
Vshwin32.exe
Vsecomr.exe Vscan40.exe Vettray.exe Vet95.exe Tds2-Nt.exe Tds2-98.exe Tca.exe Tbscan.exe Sweep95.exe Sphinx.exe Smc.exe Serv95.exe Scrscan.exe Scanpm.exe Scan95.exe Scan32.exe Safeweb.exe Rescue.exe Rav7win.exe Rav7.exe Persfw.exe Pcfwallicon.exe Pccwin98.exe Pavw.exe Pavsched.exe Pavcl.exe Padmin.exe Outpost.exe Nvc95.exe Nupgrade.exe Normist.exe Nmain.exe Nisum.exe Navwnt.exe Navw32.exe Navnt.exe Navlu32.exe Navapw32.exe N32scanw.exe Mpftray.exe Moolive.exe Luall.exe Lookout.exe Lockdown2000.exe Jedi.exe Iomon98.exe Iface.exe Icsuppnt.exe Icsupp95.exe Icmon.exe Icloadnt.exe Icload95.exe Ibmavsp.exe Ibmasn.exe Iamserv.exe Iamapp.exe Frw.exe Fprot.exe Fp-Win.exe Findviru.exe F-Stopw.exe F-Prot95.exe F-Prot.exe F-Agnt95.exe Espwatch.exe Esafe.exe Ecengine.exe Dvp95_0.exe Dvp95.exe Cleaner3.exe Cleaner.exe Claw95cf.exe Claw95.exe Cfinet32.exe Cfinet.exe Cfiaudit.exe Cfiadmin.exe Blackice.exe Blackd.exe Avwupd32.exe Avwin95.exe Avsched32.exe Avpupd.exe Avptc32.exe Avpm.exe Avpdos32.exe Avpcc.exe Avp32.exe Avp.exe Avnt.exe Avkserv.exe Avgctrl.exe Ave32.exe Avconsol.exe Autodown.exe Apvxdwin.exe Anti-Trojan.exe Ackwin32.exe _Avpm.exe _Avpcc.exe _Avp32.exe (5)该病毒的传播: (a)通过邮件传播:在系统的当前帐号下,或者在文件.mmf;.nch;.mbx;.eml;.tbb;.dbx和.ocs中查找Email地址,找到以后为发送网络蠕虫作好准备;
发送的含有病毒的邮件的主题可能有:
Greets! (祝贺) Get 8 FREE issues - no risk! (免费获得8项--没有危险) Hi! (嘿!) Your News Alert (你的新闻警告) $150 FREE Bonus! (150美元的免费奖励) Re: (回复) Your Gift (你的礼物) New bonus in your cash account (你的现金帐户的新的奖励) Tools For Your Online Business (在线商务活动工具) Daily Email Reminder (每天的邮件提醒) News (新闻) free shipping ! (免费乘船) its easy (非常容易) Warning! (警告) SCAM alert!!! (SCAM 报警) Sponsors needed (急需赞助) new reading (新的读物) CALL FOR INFORMATION! (需要信息) 25 merchants and rising (25个商人) Cows (牛) My eBay ads (我的电子港湾广告) empty account (空空如也的帐号) Market Update Report (市场升级报告) click on this! (请点击) fantastic (不可思议) wow! (喔) bad news (坏消息) Lost & Found (丢失 & 找到) New Contests (新的竞赛) Today Only (今天唯一的) Get a FREE gift! (获得一个免费的礼物!) Membership Confirmation (会员确认) Report (报告) Please Help... (请帮忙) Stats (状态) I need help about script!!! (我需要脚本方面的帮助) Interesting... (非常有意思) Introduction (介绍) various (各种各样) Announcement (声明) history screen (历史景点) Correction of errors (改错) Just a reminder (提醒一下) Payment notices (付款通知) hmm.. (摁) update (升级) Hello! (你好) 附件的文件名称可能含有:readme、Setup、Card、Docs、news、image、images、pics、resume、photo、video、music、song、data等; 为了使病毒更具有个性特点(也就是没有感染者发送出的网络蠕虫都不一样),该网络蠕虫还读取注册表键: \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 其中的键Personal 的数值,并读取该键值指向的目录下的文件。一般来讲,该数值是c:\My Documents (Windows 98系统).从该目录下,网络蠕虫来获得用来传播的文件名称。同时给要传播的文件加上exe、pif或者 scr 做扩展名称。为了适合找到的文件名称,该网络蠕虫在传播时对用来传播的邮件做了相应的修改,使其适应不同的文件类型。 (b)通过局域网络来传播: 该网络蠕虫可以列出所有的网络资源。如果该网络蠕虫程序获得了网络共享资源的管理者的权限的话,网络蠕虫就会将自身拷贝到远程的受 感染的机器的启动目录(Startup)下,正是通过这种方式,该蠕虫程序会在远程机器重新启动后,感染该远程的机器。依次类推。该网络蠕虫可能会导致网络打印不正常。 (6)该病毒的黑客程序性质: 黑客程序的性质:该网络蠕虫建立一个后门程序,并打开端口36794,从该端口接受外部的命令。它可以接受的命令很多:其中包括: 删除文件、启动、列表、终止系统中的进程、拷贝文件、将用户的键盘操作记录传送给黑客,显然这最后一点可能导致用户计算机机密信息的泄露。该网络蠕虫发送机密信息的形式如下: User:<用户名> Processor:<计算机的处理器> Windows version:<Windows 操作系统的版本号以及Build号码> Memory information:<可用内存数,等> 本地驱动器以及其类型(是硬盘、软盘、内存磁盘还是CDROM、远程磁盘等)以及其物理参数 网络资源以及其类型 另外,如果用户的操作系统是Windows 95/98/ME的话,该网络蠕虫还会试图访问带有密码控制的共享文件资源。该项功能是使用一个目前并没有公开的WINDOWS 的DLL文件提供的函数:WNetEnumCachedPasswords. 同时该网络蠕虫的黑客程序部分还可以提供WEB网页格式的访问模式,这样为黑客窃取信息提供了极大的方便之门。 北京江民公司的反病毒小组在获得该样本后立即做了升级,使得最新版本的KV3000杀毒王2002年10月2日的版本即可直接查杀并可以实时监视该网络蠕虫。江民公司提醒广大的计算机用户及时升级自己的防病毒软件,同时及时升级系统补丁程序来预防该类病毒的破坏传播。