软件名称:“冬日桃花”病毒专杀 : V) c8 w! A' ]- {+ E
软件类别:专杀工具
/ a4 L# i9 e* J5 G# m6 p软件版本:
9 D2 }$ y0 f% _# x软件大小:820KB 8 V0 u6 ~ f! Q% {& W+ n0 i* i P
应用平台:Win2003/WinXP/Win2000/NT/WinME/Win9X/
1 W5 O0 r0 O- ^' e* N更新时间:2008-09-04 11:51:03
1 j9 h+ L( \9 K( {5 t% P授权方式:免费软件
% [! B4 _ L& f4 Z) G
2 x* G3 s4 a; S" U+ x) T4 ^
! L1 b- f/ Y: u4 r$ ^( v软件说明
" j! L4 |. Z) F* [: @4 L
3 w$ x( {' r# ]" l! G& g
$ ~. i% f% m! U
1 z6 U# @+ I& P% D& M3 p9 a0 f; b1 K: w! Q0 t1 E
病毒评估9 w# t0 D! T' i) [# w7 s6 }& b
) F6 D! N" d* h! E1 t' c' U, C! z
) E/ }9 F G* h& b6 }病毒名称: “冬日桃花”病毒 $ Z. t* k# P3 e9 |" P
病毒名称英文:worm.win32.anilogo.b + J( d( n$ @& Y; S$ |
病毒类型:感染型下载者 ! T& d2 f$ f' e) p- d& o
危险级别:★★★★
2 p1 g# y& k2 Y传播方式:通过U盘自启动传播
5 k8 |( y, _& v% k( E# W受影响的系统:Windows 2000, Windows XP, Windows Server 2003,VISTA
" v. X6 J) p0 E3 w0 Y( V* B未受影响的系统:Windows 3.x, Macintosh, Unix, Linux
9 @0 S3 b9 u& e$ Q; _, S病毒危害:
1 [/ r$ c; U, s5 U, F) ?% c" C5 I9 v5 H5 v* Y. z
6 h) I, Z$ U6 D6 V2 W8 K病毒发作后劫持部分杀毒软件,并感染exe,scr文件。部分被感染的程序无法启动,360等安全工具无法启动。
+ ?# @, l( T$ n5 Z, J, c3 a病毒感染PE文件时,在PE文件的尾部添加一个节用来保存病毒代码,修改入口点为病毒的代码起始位置。感染本地的可执行文件,不感染系统文件夹下的文件。9 n6 p, R* V, G$ Z
传播形式:
( M3 F2 v* X6 a% H1 `& G& v# t
# N6 S1 U; D6 z& `* H) q8 I
当用户运行被感染的PE文件时,感染部分首先被触发。在kernel32.dll上寻找到getprocess函数以后,动态调用相关的API并保存到堆栈内,完成以上步骤后,病毒将自身写到与被感染文件同一文件夹下。并调用Winexec函数运行。2 v3 ?+ r. v) D! [' o
当刚才被释放的病毒体运行以后,在X:\WINDOWS\Font\system文件夹下释放ati2evxx.exe病毒文件。在每个盘的根目录释放ntdlr.exe文件,以及autorun.inf达到启动病毒的目的。
0 ?7 z/ j6 } Q病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下写入名称为TBMonEx的键值:X:\WINDOWS\Font\system\ati2evxx.exe
3 p7 S0 e) D# b7 L* {预防和处理办法:
b. \+ Y. l5 G; X) o v# l% G9 i4 h0 P) y
* h# C* i5 c* T/ K. @- r# z1.不要打开来历不明的邮件;
6 E( G. F7 b0 I& a9 b: Q2.使用具有邮件监控功能的杀毒软件;
' [, |( v) H( x3.U盘插入前请杀毒;
; x) O% z/ @+ J+ J# s
- R2 E2 v! o$ w |
发表于 2008-9-9 13:40
|