中新網(wǎng)2月11日電 來(lái)自江民快速反病毒小組的最新消息,時(shí)下雖然距離西方情人節(jié),還有幾天的時(shí)間,但是在網(wǎng)絡(luò)上針對(duì)情人節(jié)的病毒,已扎堆出現(xiàn)并開始蔓延。
江民反病毒專家提醒用戶,雖然當(dāng)前的反病毒軟件的對(duì)"愛蟲"、"情人節(jié)"、"羅米歐與朱麗葉"等老病毒,能進(jìn)行有效地查殺清除,但用戶在收發(fā)電子郵件,仍要多加小心。重大節(jié)假日是電腦病毒的多發(fā)期,真正應(yīng)提防的是更具殺傷力的新病毒以及老病毒變種出現(xiàn)。
2月11日,江民公司成功截獲“屏幕保護(hù)”(也稱硬盤殺手)的最新變種病毒I-Worm/Opaserv.q。該變種病毒可刪除原來(lái)流行的“屏幕保護(hù)”病毒,而且還會(huì)自動(dòng)從一個(gè)指定的網(wǎng)站進(jìn)行自身升級(jí),以躲避反病毒軟件的查殺。
江民反病毒專家介紹,該變種病毒可以通過(guò)網(wǎng)絡(luò)共享以及邏輯C盤,在所有的WINDOWS平臺(tái)下運(yùn)行傳播感染,并象其他蠕蟲病毒一樣修改系統(tǒng)注冊(cè)表,使得每次啟動(dòng)系統(tǒng)時(shí)都能自動(dòng)運(yùn)行。
該變種病毒刪除原“屏幕保護(hù)”病毒的步驟如下:
該網(wǎng)絡(luò)蠕蟲病毒一旦被執(zhí)行,就會(huì)首先檢查電腦系統(tǒng)是否感染了“屏幕保護(hù)”病毒,如發(fā)現(xiàn)電腦中存在“屏幕保護(hù)”病毒,則立刻進(jìn)行刪除,被刪除的程序中包含WINDOWS目錄下的三個(gè)可執(zhí)行文件scrsvr.exe,alevir.exe以及brasil.exe。
隨后該變種病毒則連續(xù)產(chǎn)生感染、查找以及自動(dòng)升級(jí)三個(gè)線程:
第一個(gè)線程是感染線程,由該變種病毒自身創(chuàng)建,感染的對(duì)象是同一個(gè)域中的其他機(jī)器,只要有寫權(quán)限的機(jī)器,該病毒都能感染。該病毒之所以能感染主要是利用了共享級(jí)別的WINDOWS密碼口令的漏洞來(lái)感染其他機(jī)器的,正是由于有此安全漏洞,使得WINDOWS/95/98/ME的系統(tǒng)即使共享目錄被密碼保護(hù)也能感染該病毒。
第二個(gè)線程是查找線程:主要功能是查找網(wǎng)絡(luò)共享的C盤的根目錄。該線程反復(fù)搜索同一域里的C盤的根目錄,并反復(fù)搜索。一旦搜索到共享尋址的響應(yīng),該變種病毒的第一線程啟動(dòng),利用WINDOWS可能存在的漏洞進(jìn)行傳播、感染。
第三個(gè)線程就是升級(jí)線程:和許多的“殺病毒程序”一樣,該線程可以自動(dòng)從一個(gè)指定的網(wǎng)站上來(lái)升級(jí)網(wǎng)絡(luò)蠕蟲自身,以躲避反病毒軟件對(duì)其的查殺。
從以上對(duì)該病毒的分析不難看出,“變化莫測(cè)”已成為今后網(wǎng)絡(luò)蠕蟲病毒發(fā)展的一個(gè)新特性。