瑞星病毒与木马预警一周播报（2005.01.17－01.23） www.rising.com.cn 2005-1-13 9:21:00 信息源:瑞星公司 本周热门病毒： 木马杀手变种D（Trojan.Win32.KillDisk.d）：木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。病毒会破坏硬盘分区表，一旦中毒，用户硬盘上所有的数据都会丢失且很难恢复。可能给用户造成极大的损失。 本周发作病毒： ①抄网变种B（Worm.Win32.DipNet.b）：蠕虫病毒，通过系统漏洞传播，依赖系统：WIN 2000/XP。该病毒的传播和感染速度都非常快，它会计算出随机的系统IP地址，启动201个线程对这些地址进行ms04-011漏洞攻击，造成系统运行异常。 ②乌德伯特变种V（Backdoor.Win32.Wootbot.v）:后门程序，通过系统漏洞传播，依赖系统：WIN NT/2000/XP。该病毒同时具有蠕虫和后门的特性，利用多种系统漏洞传播。黑客可以远程控制中毒电脑对外发动攻击，窃取游戏序列号等。 http://it.rising.com.cn/newSite/Channels/Anti_Virus/Virus_Alert/Virus_Week/200501/13-092118105.htm 金山反病毒预警(2005年01月17日至01月23日) 2005年01月12日 13:42　金山毒霸信息安全网 　 　　　　本周重点关注病毒： 一、感染型病毒：“Squirrel”（Win32.Squirrel.a） 据金山毒霸反病毒工程师介绍，该病毒是一个工作于Win32平台下的感染型病毒，病毒感染Win32平台下的PE文件，并通过局域网传播，导致用户机器硬盘空间变小，系统变慢，局域网堵塞，影响到了用户的正常工作，金山毒霸已对该病毒做了处理，请用户多加小心该病毒。 　　金山毒霸反病毒专家提醒用户：随着网络的发展，许多病毒也伴随而来，一些病毒专门窃取用户的个人隐私、个人数据信息等，并对用户的信息泄露或给用户造成更大的危害，请用户增强自己的安全防范意识，多浏览毒霸网站上的相关安全信息，切实做好自己的安全工作，才能避免病毒给您带来的麻烦。 二、木马病毒：“飞蛾终极炸弹”（Win32.Troj.MillerBomb)据金山毒霸反病毒工程师分析，该病毒会关闭用户机器上的安全软件，由于该病毒在修改EXE文件关联时的bug，导致感染该病毒的机器不能运行任何程序，建议毒霸用户把毒霸自带的IE修复工具的扩展名改为.com后运行，再选中“恢复文件关联”勾上再点“清理”。 　　金山毒霸反病毒专家提醒用户：最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。 http://db.kingsoft.com/c/2005/01/12/167690.shtml 病毒预报 第一百零三期（2005.1.17- 2005.1.23） 国家计算机病毒应急处理中心 计算机病毒防治产品检验中心 近两年，很多病毒都融入了bot程序功能BOT就是ROBOT（机器人）的缩写，是一组用来自动管理IRC（Internet在线聊天软件）聊天室、辅助进行聊天的工具，是一个可以像机器人一样远程控制的程序。它被恶意用户用，成为病毒传播的又一手段。近两年间，bot 遥控程序持续增长，它通常会作为后门程序的组件之一，恶意用户可通过其远程获取系统控制权，并窃取用户信息。同时，bot 也会入侵已知的漏洞，攻击者只要向bot 遥控程序发送指令，被控制的机器就会在网络中不停的为攻击者寻找存在漏洞的目标系统，并将自身复制其中，不断扩大其可操控的范围。攻击者同样可以利用这些受控机器对某一特定目标发动攻击，如DDoS （拒绝式服务）攻击。目前很多病毒程序具有bot程序的功能，被此类病毒感染的系统可以被恶意用户操控，因此使得蠕虫具有了可控性，成为进行网络攻击和破坏的工具和手段。较为典型的有"高波"（Agobot）、Sdbot等。 值得提到的是微软公布了今年最新的三个安全漏洞补丁，其中两个针对Windows操作系统，另外一个针对IE浏览器。其中一个漏洞补丁的等级为重要，另外两个的等级为严重。 1、MS05-001：HTML 帮助中的漏洞可能允许执行代码 (890175) （等级：严重） 该漏洞的补丁主要解决Windows中HTML Help ActiveX控件的安全问题。攻击者可以利用这一漏洞完全控制被害人的电脑系统。 具体安全公告下载地址: http://www.microsoft.com/china/technet/security/bulletin/MS05-001.mspx 2、MS05-002：光标和图标格式处理中的漏洞可能允许远程执行代码 (891711)（等级：严重） 该漏洞补丁解决Windows NT至Windows XP系统中存在的指针与图标的格式处理问题，通过包含恶意软件的网页，攻击者可能利用这一漏洞。 具体安全公告下载地址: http://www.microsoft.com/china/technet/security/bulletin/MS05-002.mspx 3、MS05-003：索引服务中的漏洞可能允许远程执行代码 (871250) （等级：重要） 该漏洞补丁是针对Windows的索引服务，在系统当中，索引服务是被默认关闭的，攻 击者很难利用这一途径访问索引内容，因此它的威胁等级是重要，而不是严重。 具体安全公告下载地址: http://www.microsoft.com/china/technet/security/bulletin/MS05-003.mspx 本周发作： 病毒名称：form.A 病毒类型：引导型病毒 发作日期：1月18日 危害程度：病毒感染硬盘的分区表和软盘的主引导扇区，在18日，用户敲 击被感染计算机的键盘时，会发出"嘀嘀"的声音。 专家提醒： 1、建议用户立即针对自己计算机安装的操作系统，找到相应的安全漏洞补丁，下载并安装。遏制利用这些漏洞进行传播的病毒，减少病毒给计算机用户带来的危害。 2、由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还是请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。 http://www.antivirus-china.org.cn/head/yubao/yubao_103.htm

计算机病毒都具有一定的基本特性，这些基本特性主要指的是病毒的传染性、破坏性、恶作剧 等表现，这是普通病毒所应具备的基本特性。据目前占据国内杀毒 软件市场８０％以上份额
的ＫＶ３０００的研制者王江民介绍，能用变化自身代码 和形状来对抗反病毒手段的变形病毒
才是下一代病毒首要的基本特征。 变形病毒 特征主要是：病毒传染到目标后，病毒自身代码 和结构在空间上、时间上具有不 同的变化。以下简要以变形病毒的变化能力将其化分为四类
。
 
第一类变形病毒的特性是：具备普通病毒所具有的基本特性然而，病毒每感染 一个目标后 ，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字 节是相同的，但这些代 码其相对空间的排列位置是不变动的，这里称为：一维变 形病毒。

第二类变形病毒的特性是 ：除了具备一维变形病毒的特性外，并且那些变化的代 码相互间的排列距离（相对空间位置 ），也是变化的，有的感染文件的字节数不 定，这里称为：二维变形病毒。
 
第三类变形病毒的特性是：具备二维变形病毒的特性，并且能分裂后分别潜藏在 几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附 着体上的空间位置是变化的，即潜藏的位置不定。比如：可能一部分藏在第一台 机器硬盘的主引导区，另外几部分也可能潜藏在可执行文件中，也可能潜藏在覆 盖文件中，也可能潜藏在系统引导区，也可能另开垦一块区域潜藏……等等。而 在下一台被感染的机器内，病毒又改变了其潜藏的位置。这里称为：三维变形病 毒。

第四类变形病毒的特性是：具备三维变形病毒的特性，并且，这些特性随时间动态变化。比如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段 时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子，这 里称为：四维变形病毒。 以上的四类变形病毒可以说是病毒发展的 趋向，也就是说：病毒主要朝着能对抗 反病毒 手段的方向发展。目前，已发展到了一维、二维、三维变形病毒。四维变 形病毒必将出现，那将是信息社会战争的需要.

几个容易被误认为病毒的文件 ： 　　以下是用户经常怀疑是病毒的文件： 　　一、Thumb.db文件 　　Thumb.db文件被用户误认为是病毒的原因应该有三点： 　　1、该文件在一些操作系统中的带有图片的文件夹中都存在; 　　2、即使删除此文件，下次打开该文件夹时仍会生成; 　　3、该文件可能会不断增大。 　　其实，Thumb.db文件在Windows Me或更新的Windows版本中都会有,这是Windows对图片的缓存（也可以说是缓冲文件）,它可以方便用户对图片进行预览, 图片越多,这个文件可能就越大,这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”，就不会产生这种文件了。 　　二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)” 　　Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中，而且删除后可能还会重新生成。 　　Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限，当超出这个容量的时候，就会产生这个文件。当前程序运行在哪个目录，这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug，Win2000和me中自带的智能ABC5.0已经修正了这个错误。 　　如果想让计算机中不再出现这个文件，有两种办法： 　　1.可以把4.0的智能ABC升级至高版本。 　　2.可以把Windows\system目录下的*.rem文件删除，然后重启计算机。 三、Word的临时文件 　　用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件，它的图标与Word文档的图标相同，但是“灰”颜色的（即具有隐藏属性）。许多用户觉得可疑，认为是病毒造成的。 　　其实这是一个正常的现象，这个文件是Word生成的，可以理解为是一个缓冲文件，它的作用是最大限度的保存由于意外原因（如突然死机等）造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失，用户不必担心。 　　四、jdbgmgr.exe文件 　　与以上几种文件不一样，该文件即不是出错时生成的文件也不是临时文件，是一个正常的系统文件。用户本来是注意不到它的，因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件，对收到邮件的用户发出警告，声称“jdbgmgr.exe”文件是一种病毒，可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发，希望能帮助其他受害者清除这个病毒。 　　实际上，“jdbgmgr.exe”文件是Java调试管理器，是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后，可能会导致一些Javaapplets和JavaScript停止工作

好贴，顶。不好意思，最近变的很懒，所以很少去注意这类的消息了，请再发多点。谢谢了！

国家计算机病毒应急处理中心通过对计算机病毒情况的传播情况的监测汇总2004年，蠕虫在2004年仍占有重要的位置。蠕虫由于其主动传播的特性，往往传播时间较长、形成危害较大，并且现在的蠕虫病毒多融入了黑客、木马等功能，还会还会阻止安全软件的运行，使得病毒的功能性更加强大。 通过电子邮件传播的蠕虫，虽然在原理和传播方法上没有什么新意，但仍然危害不小，此类病毒发作和传播所形成的危害往往是可见的，通常会造成系统运行速度的减慢、网络运行受到影响等。由于很多病毒运用了社会工程学，发信人的地址也许是熟识的，邮件的内容带有欺骗性、诱惑性，意识不强的用户往往会轻信而运行邮件的带毒附件并形成感染。部分蠕虫的病毒邮件还能利用IE漏洞，可使用户在没有打开附件的情况下感染病毒。 本年度此类病毒的典型代表就是"网络天空"（Netsky）"贝革热（Bbeagle）"、Mydoom。这几个病毒从年初出现，不断有变种相继推出，并且病毒之间相互竞争系统资源，形成了较大的影响和危害。另外，"爱之门"（Lovgate）病毒也仍然在网络中大量存在。 通过漏洞传播的蠕虫，往往会在爆发初期形成较为严重的危害，大量的攻击和网络探测，会严重影响网络的运行速度甚至造成网络瘫痪。同时，被感染的计算机会出现反复重启、系统速度减慢、部分功能无法使用等现象。去年5月出现的"震荡波" （Sasser）就是典型的例子。"高波"（Agobot）病毒是通过RPC DCOM缓冲溢出漏洞进行传播，也就是"冲击波"所利用的漏洞，该蠕虫在出现后的一年多时间里不断有新变种的出现，导致其在全球网络中感染率一直居高不下。 针对蠕虫，建议用户采取以下措施： 1、通过电子邮件传播的病毒特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还是请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。 2、局域网要安装正版的企业版杀毒软件，并进行合理配置，如果局域网内感染病毒，应合理部署，在杀毒过程中要全网同时进行，确保彻底清除。 3、系统管理员要为其它用户合理设置权限，在可能的情况下，将用户的权限设置为最低，这样，在某一个用户的出现病毒感染的时候，对整个网络的影响也会相对降低。 4、取消局域网内一切不必要的共享，共享的部分要设置复杂的密码，最大程度的降低被病毒程序和黑客木马程序破译的可能性，同时减少病毒传播的途径，提高系统的安全性。 安装正版的杀毒软件和防火墙，局域网要安装企业版的产品，根据自身要求进行合理配置，经常升级并启动"实时监控"系统，充分发挥安全产品的功效。在杀毒过程中要全网同时进行，确保彻底清除。 专家提醒： 1、建议用户立即针对自己计算机安装的操作系统，找到相应的安全漏洞补丁，下载并安装。遏制利用这些漏洞进行传播的病毒，减少病毒给计算机用户带来的危害。 2、由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还是请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。 3、提醒广大计算机用户升级杀毒软件，启动"实时监控"和"个人防火墙"，做好预防工作。下面对该病毒进行介绍。希望引起用户注意，不要随便登录不明网站，同时对OICQ中好友发送过来的消息要谨慎处理。

著名防病毒软件: 单机防病毒软件: 东方卫士 2005（Hercules 金山毒霸 6 标准版增强版 V3 VirusBlock2005 Norton AntiVirus 2005 江民杀毒软件 KV2005 FortiClient KILL安全胄甲单机版 安铁诺防病毒软件 Kaspersky Anti-Virus工作站 光华反病毒软件1.0版(单机版) 钛金版 2004 病毒终结者 NT防病毒软件: 江民杀毒软件 KV网络版 趋势科技防毒墙服务器版（ ServerProtect for Windows NT/2000 Server ） ServerProtect(for Windows NT/2000 Server) Kaspersky Anti-Virus 服务器 （ for Windows 2000 Server ） 金山毒霸 6 安全组合装增强版 金山毒霸网络版 Norman Virus Corporation Control防毒软件（简体中文版）（for Windows 2000 Server） KILL安全胄甲企业版 趋势科技防毒墙网络版 熊猫卫士企业安全套装之文件服务器 Panda FileSecure （ win32 ） Virus 驱逐舰网络版 邮件防病毒软件: WebShield SMTP 4.5 for Windows 瑞星邮件病毒监控系统 For Exchange 瑞星企业级邮件监控系统 For Domino 网关防病毒软件: 义铎 CSG过滤网关 网络卫士过滤网关（NGFG） eTrust Secure Content Manager(for windows NT/2000 Servers) 易尚网关防火墙 FortiGate病毒防火墙 InterScan VirusWall for Unix (for Solaris) 以上软件仅作参考.

不错啊。

26/01--2005 W32.Beagle.AZ@mm 是一种会寄发大量邮件的蠕虫，它会藉由档案共享网络传播. 电子邮件将会有不同主旨与附件名称. 附件会有.com, .cpl, .exe, 或 .scr等扩展名 注意: 病毒定义文件70126ax或更新的版本将可以自动侦测到此威胁.

也称为:	Win32.Bagle.AU [Computer Associates], Email-Worm.Win32.Bagle.ay [Kaspersky Lab], W32/Bagle.bk@MM [McAfee], WORM_BAGLE.AZ [Trend Micro]
变种:	W32.Beagle.AY@mm
类型:	Worm
感染长度:	19,810 bytes
受影响的系统:	Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

可用赛门铁克来清除以下 W32.Beagle@mm 变种的感染：

• W32.Beagle.A@mm
• W32.Beagle.B@mm
• W32.Beagle.C@mm
• W32.Beagle.E@mm
• W32.Beagle.F@mm
• W32.Beagle.G@mm
• W32.Beagle.H@mm
• W32.Beagle.I@mm
• W32.Beagle.J@mm
• W32.Beagle.K@mm
• W32.Beagle.U@mm
• W32.Beagle.W@mm
• W32.Beagle.X@mm
• W32.Beagle.AB@mm
• W32.Beagle.AG@mm
• W32.Beagle.AO@mm
• W32.Beagle.AV@mm
• W32.Beagle.AW@mm
• W32.Beagle.AY@mm
• W32.Beagle.AZ@mm
• W32.Beagle.BA@mm

此工具的功能 W32.Beagle@mm 杀毒工具具有下列功能：

1. 终止 W32.Beagle@mm 病毒进程。
2. 删除 W32.Beagle@mm 文件。
3. 删除蠕虫加入的注册键值。