2025年4月4日 星期五
本所声明  |  联系方式  |  中国科学院  |  数字认证(OA)   |  ARP  |  English  |  邮箱

警惕"新欢乐时光"病毒,做好病毒防护工作

来源: 发布时间:2003-02-12【字体:
警惕新欢乐时光变种 此病毒还在大面积扩散之中
 2003-02-12 13:10:03
最新截获了一种新欢乐时光变种病毒,该病毒通过邮件传播,是一种恶意脚本病毒。目前已经接到国内关于此病毒的感染案例,并且此病毒还在大面积扩散之中。反病毒专家刘杰提醒用户,凡看见以下特征的邮件请小心! 带有这个病毒的邮件特征可能为下面几种: 邮件主题: Articulo 邮件正文:Te envio este articulo que encontre en internet, es interesante y tal vez te sirva, he estado un poco ocupado, luego te cuento. Adios 邮件主题: Efectos en web 邮件正文: Oola, te envio esta pagina, tiene unos muy buenos efectos, a mi me sorprendio Te escribo luego, hay una cos a que quiero contarte. Adios 附件是一个HTML文件,包含VBScript病毒程序,名称为AngeldelMar.html.当文件被打开时,病毒程序执行,生成文件C:\Windows\System\Gaghiel.vbs,经检测该文件带有VBS/Gaggle-A病毒。然后修改注册表,使系统启动时自动运行VBS文件: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run = "Gaghiel" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Domain Manager= "Gaghiel" 当VBS文件首次运行时,检查当前日期,如果大于25,就把IE的主页改成:http://www.gratisweb.com/machinedramon1\sachiel.jpg.scr 蠕虫会计算日期和月份的和,如果它们的和等于三十,就弹出一个消息框,内容是用西班牙语显示的: "Oracion antes de entraral internet: Satelite nuestro que estas en el cielo, Acelerado sea tu link, Venga a nosotros tu hipertexto, Hagase tu conexion en lo real comoen lo virtual, Danos hoy el download de cada dia, Perdona el cafe en el Teclado, Asi como nosotros perdonamos a nuestros proveedores, No nos dejes caer la conexion, Y libranos de todo Virus, En nombre del Server, del Modem y del santo User-name. Log-in." 蠕虫创建病毒文件: C:\Windows\Gaghiel.vbs 和 C:\Windows\System\AngeldelMar.htm。蠕虫会搜索所有本地驱动器和网络驱动器上的扩展名为:HTML,HTM, HTA, PHP, ASP, SHTML, SHTM, PHTML, PHTM, SFC的文件,如果这些文件内容中含有字符串"Gaghiel",蠕虫就会把VBS病毒代码加到这个文件的尾部,但如果是VBS或VBE文件,会被蠕虫的覆盖。蠕虫通过修改注册表HKEY_CURRENT_USER\Identities\{当前用户的ID}\Software\Microsoft\OutlookExpress\5.0\Mail中的 Message Send HTML,Compose Use Stationery 和 Stationery Name Converted三个键值,把MicrosoftOutlook Express的设置修改成用HTML格式发送邮件,用带病毒的文件C:\Windows\Gaghiel.html 作为默认的信纸。蠕虫还会删除regedit.exe,regedb32.exe,msconfig.exe和 C:\Windows\Recent 文件中的所有文件。 清除方法: 用江民最新版《KV3000杀毒王》全面扫描系统,把检测到感染VBS/Gaggle-A的文件删除,重新修改Microsoft Outlook Express的设置。