警惕“基尼篡改者” 用户登录百度、GOOGLE将被替换成恶意网站
病毒名称Email-Worm.Win32.generic.am
捕获时间
2007年8月10日
病毒症状
该蠕虫程序运行后在计算机的C盘下多个目录下生成多个文件,如:C:\IE-BAR\IETRAY.EXE,C:\IEXPLORE.EXE,%system%\catroot2\regcleaner.exe,C:\windows\temp\~DTU.EXE,%systemroot%\java\javavm7.exe,%systemroot%\addins\360tray.exe等;利用注册表启动项Run使得这些生成的文件能够随系统自动启动。遍历计算机所有盘符,在每个盘符下生成autorun.inf文件和Ntdetect.exe文件,利用Windows自动播放功能使得用户在打开任何盘符时都会激活蠕虫程序运行;查找用户outlook设置,获取其中的邮件地址,然后以附件的形式向这些邮箱地址发送带毒邮件。
把正常的IE和任务管理器程序及系统备份目录(dllcache)中的相应备份程序都替换为蠕虫程序;还通过修改注册表将开始菜单的关机、运行等按钮隐藏;修改IE相关注册表来改变IE主页,隐藏打开文件、保存文件等菜单选项;修改host文件,将下列网站重定向为蠕虫指定的恶意网站:
[url]www.baidu.com[/url]
[url]www.google.com[/url]
[url]www.duba.net[/url]
bbs.kafan.cn
[url]www.avastbbs.com[/url]
bbs.mumayi.net
[url]www.avira.org.cn[/url]
使得用户在访问正常网页(如:[url]www.baidu.com[/url])时转向访问病毒所指定的网页(如:xxx.876992.cn)。
感染对象
Windows 98/ Windows ME/ Windows XP
传播途径
邮件传播,移动存储
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理;如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现Email-Worm.Win32.generic.am”,请直接选择删除。
使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性,会使得部分网页无法正常打开,如果您在上网时发现有异常情况,您也可以尝试安装微点解决。
没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。
转自微点官方论坛
微点下载地址:[url]www.micropoint.com.cn[/url] 晕,现在上网真危险啊
页:
[1]