瑞星16.47.20 版新增 137个可查杀病毒

    瑞星公司10月9日公布了它的最新病毒升级包，其16.47.20版新增137个可查杀病毒，主要包括： DOS下的EXE病毒(1)； WINDOWS下的PE病毒(115)；脚本病毒(11)；普通文件病毒(10)。主要内容如下：

DOS下的EXE病毒(1)

1.Trojan.PSW.DOS.Silly.a

WINDOWS下的PE病毒(115)

2.Worm.Rubiroid.14

破坏方法：一个简单的蠕虫病毒

病毒行为：

  病毒运行后将自己复制到c:\sysnet2目录下，文件名为：Ruby14.exe

并在注册表：

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run

中加入自己的键值："Ruby14"= c:\sysnet2\Ruby14.exe以达到自启动目的。

P2P传播：

   病毒运行后将从注册表HKEY_CURRENT_USER\Software\Kazaa\LocalContent\dir0
HKEY_CURRENT_USER\Software\Kazaa\Transfer\dir0及Software\iMesh\Client\LocalContent\dir0
中读取目录名，并将自己复制到目标目录中，文件名为以下：

   Keygen.exe，Serial.exe，NoCD.exe，Crack.exe，Norton AntiVirus 2004 Pro Activation Key 
Nero Burning ROM v6.3 Ultra - Enterprise edition key.exe，Microsoft Windows XP Professional
Adobe Photoshop CS and ImageReady CS 8.0，Zone Alarm 5.0 pro，Counter-Strike, Condition Zero - Activation Key.exe
Harry Potter and the Prisoner of Azkaban KeyGen，.Norton Internet Security
2004 Keygen 
icqbomber.exe，All Adobe Products，All Macromedia Products，All Microsoft Products，BurnDvds.exe
Divx Pro 5.1，.Dvd Plus，Dvd Ripper.exe，Dvd To Vcd.exe，Dvd Wizard Pro，Dvd Xcopy，DvdCopyOne，DvdToVcd
Easy Dvd creator，Easy Dvd Ripper.exe，EZ Dvd Ripper.exe，Nero Burning Rom，Nimo Codec Pack Updater.exe
Xvid Codec Installer.exe，Starcraft + Broodwar 1.10 map hack.exe，Starcraft + Broodwar 1.10 no-cd hack.exe
Diablo 2 map hack.exe，Diablo 2 no-cd hack.exe，Jamella.s Diablo 2 hero editor.exe....
以诱骗网络用户下载运行。

内存监控：

  病毒不断遍历系统进程例表，结束和病毒体内记录的相符的进程。
KAVPF.exe，agentw.exe，AckWin32.exe，Claw95.exe，Monitor.exe，avpm.exe，_AVP32.EXE
AVP32.EXE，vshwin32.exe，f-stopw.exe，APVXDWIN.EXE，PAVPROXY.EXE，VbCons.exe，vbcmserv.exe
_AVPCC.EXE，GBPOLL.EXE，TAUMON.EXE，zonealarm.exe，vsmon.exe，zapro.exe，PERSWF.EXE，MPFAGENT.EXE
MPFSERVICE.exe，MPFTRAY.EXE，VSHWIN32.EXE，VSECOMR.EXE，WEBSCANX.EXE，AVCONSOL.EXE，VSSTAT.EXE
cpd.exe，ALOGSERV.EXE，CMGRDIAN.EXE，RULAUNCH.EXE，VSMAIN.EXE，Mcshield.exe，iamapp.exe
iamserv.exe，FRW.EXE，WrCtrl.exe，WrAdmin.exe，lockdown2000.exe，Sphinx.exe，BlackICE.exe
blackd.exe，rapapp.exe，IAMAPP.EXE，NISUM.EXE，IAMSTATS.EXE，LUSPT.exe，ccApp.exe，ccEvtMgr.exe
ccPxySvc.exe，NISSERV.EXE，AUTODOWN.exe，VET32.exe，ETRUSTCIPE.exe，MWATCH.exe，EFPEADM.exe
EVPN.exe，cleaner3.EXE，cleaner.EXE........

邮件传播：

  病毒遍历盘符从C:到e：中所有后缀名为*.wab，*.dbx，*.mbx，*.mbox，*.tbb，*.eml，*.mai *.htm，*.sht，*.txt，*.doc，*.rtf并尝试从中提取email地址对其进行发带毒邮件传播。

3.Worm.Bagz.b

破坏方法：一个用VC编写的蠕虫病毒

病毒行为：

   病毒运行后将搜索系统的存在的email地址，并向其发送带病毒的邮件进行传播。

邮件标题：

   Re: User ID Update..
   Fwd: Your Funds are Eligible for Withdrawal.find a solution with this customer..
No Subject..
   Re: Help Desk Registration..failure notice..
   Fwd: Password...when should i call you?.
   RE: Re: A question..Knowledge Base Article..Open Invoices...Returned mail:
see transcript for details...building maintenance....
   [Fwd: Broken link]..WinXP...troubles are back again.Questions...Order Approval.
.units available.progress news...big announcements
Need help pls...You have recieved an eCard!.What is this ????Deactivation Notice.Message recieved, please confirm
My funny stories.Cost Inquiry.
   Re: payment.referrences.Webmail Invite..
   RE: quote request.

邮件正文：

User
  Hello,.Sorry, I forgot to attach the new contact information. .
Please view the attached (.pdf) contact sheet. .Sincerely, 

User
Hello,. I resent this email as attachment because. it was previously 
blocked by your email filters.. Please read the attachment and respond.Thanks,

User
Hello,. I was in a hurry and I forgot to attach an important . document. 
Please see attached.. Best Regards,

User
Hello,. Your email was received..YOUR REPLY IS URGENT!.Please view the
 attached text
file for instructions..Regards

User
Hello,.Your email was sent in an INVALID format..To verify this email was sent
 from you,
simply open the attached email (.eml) file.and click yes in the sender options box
Thank You,

User
Hello,.My PC crashed while I was sending that last email..I have re-attached the document
of yours that I discovered..Please read attached document and respond ASAP
..Sincerely,

User
Hello,.What version of windows you are using?.This last document I received
from you 
came out weird..Please see the attached word file and resend the file to me..
Many thanks,.

User
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***.

........

邮件附件名：
   tutorial.doc.exe，doc.doc.exe，documents.doc.exe，atach.doc.exe，file.doc.exe
read.doc.exe，readme.doc.exe，contact.doc.exe，mail.doc.exe.....

4.Worm.Multex.b

破坏方法：该病毒采用UPX压缩，是一个通过P2P和 微软“震荡波”漏洞传播的蠕虫病毒

 该病毒流程如下：

 1.复制自己到系统目录：
 %SYSDIR%\iexp1orer.exe

 2.修改下列注册表键值以求随系统自启动：
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 "iestart"="%SYSDIR%\iexp1orer.exe"

 3.病毒将复制自己到P2P软件“Kazaa”的共享目录下，可能文件名如下<节选>：

 "winamp5.exe"
"icq2004-final.exe"
"nicegirlsshowv12.scr"
"matrix.scr"
"tropicallagoonss.scr"
"eroticgirls2.0.exe"
"winamp6.exe"
"opera7.7.exe"
"childporno.pif"
"crazzygirls.scr"
"opera7.x crack.exe"
"dvdplayer.exe"
"dap53.exe"
"trillian 2.0 crack.exe"
"kmd.exe"
"icqlite.exe"
"WinZip 9.0.exe"
"iMeshV4.exe"
"icqpro2003b.exe"
"zlsSetup_45_538_001.exe"
"Morpheus.exe"
"LimeWireWin.exe"
"wrar330.exe"
"trillian-v2.74h.exe"
"dap71.exe"
"WinZip 9.0 crack.exe"
"wrar330 crack.exe"
"icqpro2003b crack.exe"
"iMeshV4 crack.exe"
"dap53 crack.exe"

 4.病毒也将建立一个FTP服务器

 5.病毒将通过TCP 445端口连接随机产生的IP地址，如果成功，病毒将利用“震荡波”漏洞攻击此IP，成功后将在此IP上运行一个 shell ，绑定随机的TCP 端口，同时将回连本地感染机器建立的FTP服务器 <上面提及的FTP 服务器>，成功后将从本机下载病毒执行

 6.病毒将向所有ICQ联系人发送诱惑性的消息，消息如下，OICQ，MSN 等>：
fun game http://www.***.com/ajr/game.exe =)
funy game http://www.***.com/ajr/game.exe =))
i now play in game http://www.***.com/ajr/game.exe :-):-)
my photos (archived) http://www.***.***.it/claroline142/photo.exe
whoah! check this out! (self-extracting archive) http://***.***.***/icon/icon.exe
funny flash-game :)) http://***.***.***/game.exe
http://www.***/claroline142/photo.exe lol =))
it's all about you http://***.***.***/game.exe :)
http://www.***.it/claroline142/photo.exe i cried :-D
http://***/icon/icon.exe funny :D

该链接下载的文件是病毒“Mydoom”

5.I-Worm.Pilif

破坏方法：病毒采用 Visual Basic 6 编写，是一个蠕虫病毒

 病毒特征如下：

 1.修改注册表自启动，相关键值如下：
 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN "Pilif" = "%SYSDIR%\PILIF.EXE"

 2.禁止使用任务管理器，相关键值如下：
 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\policies\system  "disabletaskmgr" = 0X00000001

 3.该病毒在注册表中保存一个计数器，来计算被运行的次数，当大于10次后将显示一个消息框，内容如下：

  "Only two things are infinite : The Universe and Human Stupidity. 
And I am not sure about the Universe - A.Einstein"
 然后计数器重新计数

 4.病毒也将复制到系统目录下：
 %SYSDIR%\pilif.exe

 5.同时，病毒会试图终止下列反病毒软件的运行：
"Kaspersky Anti-Virus"
Kaspersky AV Control Centre"
"Agnitium Firewall"
"Kaspersky AV Monitor"
"Kaspersky Anti-Virus Scanner"
"McAfee"
"Norton Anti-Virus"
"Norton Firewall"
"Sygate Personal Firewall"
"Windows Updater"
"Zone Alarm"

 6.病毒每隔十秒将提示关闭机器

 7.它通过局域网、邮件、P2P、IRC传播
  a.局域网传播时病毒试图复制自己到映射的网络驱动器上
  b.邮件传播时病毒从本地文件中搜索邮件地址
  c.P2P传播时复制到P2P共享目录的文件名为诸如：Kasperky AV Universal Key.exe，Dark Coderz Alliance.exe
类的具有欺骗性的名称
  d.IRC传播时是向IRC公用频道发送欺骗消息并使用DCC发送病毒体

 8.病毒将在每年的6月4日显示一个消息：
"Happy birthday Ombladon! Fuck you Pilif..."

6.Backdoor.Resard
破坏方法：该病毒是一个后门病毒，它由两部分组成：

 1.病毒的执行模块： SCardSer.exe  它负责将病毒体注入到系统中运行的进程中

 2.病毒的DLL模块，包括两个文件：
 sockup.dll    此文件是病毒注入到系统进程lsass.exe中的，用来通讯
 comwsock.dll  此文件随机注入到下列进程中：
 explorer.exe、inetinfo.exe、qq.exe、msimn.exe、iexplore.exe、outlook.exe、msnmsgr.exe 病毒利用此模块监听TCP端口<端口随机>，建立后门。

7.BackDoor.TDDos
破坏方法：后门程序。运行后接收其控制端发送过来的命令对指定的IP进行拒绝服务攻击。

8.Backdoor.Rbot.ot
破坏方法：Rbot病毒变种。主要通过猜测局域网共享密码和利用系统漏洞传播。

9.Trojan.Win32.StartPage.ox.dll
破坏方法：Trojan.Win32.StartPage.ox的动态库模块。

10.TrojanDroper.Worm.Bagz.b
破坏方法：一个被绑定了Worm.Bagz.b的文件。

11.Trojan.PSW.MSN.Guide.a
破坏方法：VB写的木马，盗取MSN的账号密码。

12.Trojan.Makecall.f
破坏方法：木马，将受害机器连到互联网上。

13.TrojanDropper.Small.cv
破坏方法：释放病毒：Backdoor.Resard

14.TrojanDownloader.Small.ag
破坏方法：下载指定网址的文件并运行

15.Trojan.PSW.LdPinch.gj
破坏方法：一个盗取密码的木马病毒。

16.Backdoor.Win32.VB.wc
破坏方法：一个用Vb编写的后门病毒。

17.Backdoor.Win32.Delf.rq
破坏方法：一个后门的控制台程序。

18.TrojanDropper.Joiner.aa
破坏方法：释放病毒出来并执行。

19.Backdoor.Win32.AIMVision.14.f
破坏方法：后门程序客户控制端。

20.Trojan.PSW.MSN.VB.c
破坏方法：盗MSN密码的病毒。

21.TrojanDownloader.Win32.Krepper.i
破坏方法：一个自动下载器。

22.Backdoor.Rbot.ou
破坏方法：Rbot病毒变种。

23.Backdoor.Win32.Delf.rr
破坏方法：一个木马病毒。

24.Backdoor.Win32.Delf.rs
破坏方法：一个木马病毒。

25.Backdoor.Win32.Agent.df
破坏方法：一个后门病毒。

26.TrojanProxy.Win32.Growom.b
破坏方法：一个木马病毒。

27.TrojanClicker.Win32.Small.bb
破坏方法：一个木马病毒。

28.Backdoor.Antilam.gl
破坏方法：病毒动态库。

29.Backdoor.Huigezi.v

30.BackDoor.Wootbot.v

31.Trojan.PSW.PS-Client.g

32.Backdoor.SdBot.acp

33.Hack.PSWMonitor.b

34.Backdoor.Flux.b

35.Backdoor.Ptakks.XP.c

36.Dropper.Exploit.JPEG MS04-028

37.TrojanDownloader.Small.cg

38.Trojan.QQMSG.Boker.ab

39.BackDoor.Wootbot.w

40.Win32.HLLP.VB.b

41.TrojanDropper.Angledust

42.Backdoor.SdBot.aco

43.Trojan.Win32.Delf.fb

44.Win32.HLLP.Elysium

45.Backdoor.Win32.Wootbot.g

46.Backdoor.Win32.Cmjspy.as

47.Backdoor.VB.sm

48.Backdoor.VB.sn

49.Backdoor.VB.ss

50.Backdoor.VB.sy

51.Backdoor.VB.ta

52.Backdoor.VB.tb

53.Backdoor.VB.td

54.Backdoor.VB.te

55.Backdoor.VB.tg

56.Backdoor.VB.th

57.Trojan.PSW.Delf.da

58.Trojan.PSW.Delf.db

59.Trojan.PSW.Delf.dc

60.Trojan.PSW.Delf.de

61.Trojan.PSW.Delf.dg

62.Trojan.PSW.Delf.dh

63.Trojan.PSW.Delf.di

64.Trojan.PSW.Delf.dj

65.Trojan.PSW.Delf.dk

66.Trojan.PSW.Delf.dl

67.Trojan.PSW.Delf.dm

68.Trojan.PSW.Delf.dp

69.Trojan.PSW.Delf.dr

70.Trojan.Win32.StartPage.fc

71.Trojan.Win32.StartPage.gt

72.Trojan.Win32.StartPage.gx

73.Trojan.Win32.StartPage.gy

74.Trojan.Win32.StartPage.ha

75.Trojan.Win32.StartPage.hb

76.Trojan.Win32.StartPage.hg

77.Trojan.Win32.StartPage.hh

78.Trojan.Win32.StartPage.hl

79.Trojan.Win32.StartPage.hn

80.Trojan.Win32.StartPage.hr

81.Trojan.Win32.StartPage.hu

82.Trojan.Win32.StartPage.hv

83.Trojan.Win32.StartPage.hw

84.Trojan.Win32.StartPage.hx

85.Trojan.Win32.StartPage.hy

86.Trojan.Win32.StartPage.hz

87.Trojan.Win32.StartPage.kg

88.Trojan.Win32.StartPage.kj

89.Trojan.Win32.StartPage.kk

90.Win32.HLLP.VB.a

91.TrojanDropper.VB.b

92.Backdoor.Rbot.ov

93.Trojan.QQMSG.Boker.ac

94.Backdoor.Rbot.ow

95.Worm.Agobot.3.rn

96.Backdoor.SdBot.acs

97.Backdoor.Rbot.ox

98.Backdoor.Rbot.oy

99.Trojan.Startpage.no

100.Backdoor.SdBot.ado

101.Backdoor.Rbot.oz

102.TrojanDownloader.Slime.n

103.Trojan.MiFen.g

104.TrojanDownlaoder.MiFen.a

105.TrojanDropper.Win32.Agent.aj

106.Backdoor.Win32.Haxdoor.an

107.Backdoor.SdBot.acr

108.Adware.Beginto.setup

109.Adware.Beginto

110.Adware.Beginto.dll

111.Backdoor.Win32.Bifrose.Client

112.Backdoor.Win32.Bifrose.server

113.Trojan.Shutdown

114.Backdoor.Bandita.Client

115.Joke.Baddie

116.Backdoor.Wootbot.x
脚本病毒(11)

117.TrojanDropper.VBS.Inor.1
破坏方法：利用Ado.Stream漏洞释放木马覆盖系统目录下的notepad.exe文件。

118.Trojan.Bat.Delwin.ca
破坏方法：脚本病毒，破坏C盘的几个关键文件，可导致系统不能启动。

119.Worm.P2P.Scar
破坏方法：用脚本写成的蠕虫，通过软盘进行传播。

120.Bat.Haba
破坏方法：病毒脚本。

121.Bat.CopytoAll.a
破坏方法：病毒脚本。

122.Bat.Simlp.a

123.Bat.CopytoStart.b

124.Trojan.VBS.Sigrey

125.VBS.Sling

126.Script.StartPage.g

127.Macro.AmiPro.Green
普通文件病毒(10)

128.TrojanClicker.SWF.Zha.a
破坏方法：这是一个Flash制作的文件，该病毒体内包含恶意脚本，当执行时将无限循环打开一个网站，导致系统资源耗尽。

129.Dos.linux.Arang
破坏方法：这是一个ELF格式文件。只能在unix/linux环境下运行，向某台机器发起拒绝服务攻击。

130.Exploit.Linux.DCom.h
破坏方法：在linux平台下攻击Windows DCom漏洞的程序。

131.Flooder.Unix.MailSpam.b
破坏方法：轰炸邮箱的攻击脚本，在unix/linux下使用。

132.Exploit.Perl.Imapdog
破坏方法：perl语言写的病毒脚本。

133.Exploit.Perl.Sadmin
破坏方法：Perl语言写的病毒脚本。

134.Spoofer.perl.Nicl
破坏方法：perl语言写的病毒。

135.Backdoor.Botcmd

136.Exploit.Win32.Objecttype

137.Dropper.LaSta.b