土木在线论坛 \ 站务休闲 \ 闲聊茶吧 \ 国家计算机病毒应急处理中心紧急通知!

国家计算机病毒应急处理中心紧急通知!

发布于:2004-11-09 13:52:09 来自:站务休闲/闲聊茶吧 [复制转发]
近日,IE浏览器又出现一个严重的安全漏洞,恶意用户可以利用HTML电子邮件信息或恶意网页,控制计算机系统。由于利用该漏洞的代码已经被公布在互联网上,因此,目前这一漏洞具有高危险性。

IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出,新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时,都有可能会受到攻击。

目前,只有安装了Windows XP SP2的系统就不存在这一漏洞, Windows XP SP1和Windows 2000即使安装了所有的补丁,其所带的IE 6.0浏览器仍然存在这一漏洞。目前微软还没有发布相关的安全补丁。

针对该漏洞的建议

1、 使用Windows XP的用户,安装Windows XP SP2

2、 系统管理员还可以禁用活动脚本(active scri pting),阻止访问非主动链接

3、 在电子邮件中使用纯文本,这样也可以减少部分危险性

4、 浏览网页时提高警惕,不要随便进入不明网站,一旦发现IE浏览器失去响
应,立即终止IE进程,并断开网络连接,查找问题

5、 及时更新防病毒软件,并启动"实时监控"功能

"贝革热"病毒变种Worm_Bbeagle.AT

国家计算机病毒应急处理中心通过对互联网的监测,发现"贝革热"病毒出现了新的变种。该变种通过邮件和共享文件夹进行传播,病毒运行后修改注册表,在系统目录下创建文件。

病毒在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到病毒样本。同时病毒还会终止一些安全软件的运行。病毒邮件的附件名称为price或joke,邮件的内容为":))"。由于该病毒特征较为明显,希望用户引起注意,遇到此类邮件立即删除。

病毒名称:Worm_Bbeagle.AT("贝革热"病毒变种)
其它英文命名:Win32.Bagle.AQ (Computer Associates)
Worm_Bbeagle.bf(瑞星)
Worm_Bbeagle.t(金山)
W32.Beagle.AV@mm (Symantec)
W32/Bagle.BC.worm (Panda)
WORM_BAGLE.AT (Trend Micro)
Bagle.AT (F-Secure)
W32/Bagle.bb@mm (McAfee)
W32/Bagle-AU (Sophos)
I-Worm.Bagle.at (Kaspersky)
W32/Bagle.AQ@mm (Norman)
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP
病毒特征:

1、生成病毒文件

病毒运行后在%System%目录下生成wingo.exe、wingo.exeopen、wingo.exeopenopen。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)

2、修改注册表项

病毒会添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"wingo" = "%System%\wingo.exe"
病毒还会在HKEY_CURRENT_USER\Software\Microsoft\Params下添加
"Timekey" = "[ 随机变量 ]"

3、通过电子邮件传播

病毒通过电子邮件进行传播,病毒搜索被感染计算机内多种类型的文件(文件类型见文档末尾),从中找到邮件地址,并使用自带得SMTP引擎向这些地址发送病毒邮件,病毒同时会避免向一些包含特定字符的地址发送邮件(过滤的字符见文档末尾)。病毒邮件格式如下
发信人:虚假的地址

主题:(为下列之一)
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
内容:
:))
附件名称:(为下列之一)
Price
price
Joke
附件的扩展名:(为下列之一)
COM
CPL
EXE
SCR

4、通过网络共享进行传播

病毒搜索包含字符串shar的文件夹,并在找到的文件夹下生成自身的拷贝,拷贝有多种名称,如"Kaspersky Antivirus 5.0"、"WinAmp 6 New!.exe"、"Porno Screensaver.scr"。

5、阻止安全软件的运行

病毒为了保护自身的运行,会终止一些与安全软件相关的进程,以便阻止他们的运行。

清除该病毒的一些建议:

1、终止病毒进程

在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程wingo.exe、wingo.exeopen、wingo.exeopenopen,并终止其运行。

2、注册表的恢复

点击"开始--〉运行",输入regedit,

全部回复(5 )

只看楼主 我来说两句
  • 山水之间
    山水之间 沙发
    老版主了.佩服
    2007-05-31 22:11:31

    回复 举报
    赞同0
  • 山水之间
    山水之间 板凳
    我也已经看到 [引用] [收藏] 2003-12-01 21:43:50.0的帖子了
    2007-05-31 22:11:31

    回复 举报
    赞同0
加载更多
这个家伙什么也没有留下。。。

闲聊茶吧

返回版块

114.55 万条内容 · 191 人订阅

猜你喜欢

阅读下一篇

有时,名人是效仿不得的 !

有时,名人是效仿不得的   鲁迅在桌子角上刻了个“早”字,以后就再也没迟到。   我在桌子角上刻了“我是天才”四个字,被学校罚款二十元。   诸葛亮让刘备三顾茅庐,可出山后就当了个大将军。   妈妈一早上三次进屋叫我起床,可她第三次却提了个鸡毛掸子。   牛顿在苹果树下睡觉时,一只苹果打在他头上,让他悟出了“万有引力”。   我在桃子树下睡觉,又一只可爱的毛毛虫光顾了我的脸,我悟出了“桃子树下必有虫”。

回帖成功

经验值 +10