"妖怪"病毒
病毒名称:I-Worm.Tanatos.50688
病毒类型:蠕虫病毒
病毒长度:50688字节
危害级别:中
传播速度:高技术特征:这是一个通过感染电子邮件传播的蠕虫病毒。该病毒用VC++写成,运行后会开启一个后门程序,使用户的计算机可被远程监控。它具有如下特征: (1)复制自己到Windows系统目录并生成随机的文件名,然后在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce里添加键值,使自己可以在下次开机后自动运行。
(2)释放一个DLL文件到Windows系统目录并生成随机的文件名,用以监测键盘输入。
(3)开启一个后门程序,打开36794端口监听被感染机器,可远程执行诸如发送接收文件,发送用户信息,执行指定文件,关闭程序等操作。
(4)该蠕虫会开启用户机器上的HTTP服务,使得用户机器可被远程操作。
(5)该蠕虫会遍历局域网并搜索其中是否包含可写的系统启动目录,如果有就复制自己到该目录。
(6)在没有打补丁的机器上,该蠕虫会利用IFrame漏洞感染传播。
(7)搜索后缀名为*.ODS, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX的文件中的Email地址,通过系统默认的SMTP服务器发送带有该蠕虫的邮件,并随机选择用户机器中的文件做为邮件内容,随机生成附件名。
利用漏洞
此病毒利用的是IE、Outlook及Outlook Express存在的“错误MIME头部”漏洞,使得预览邮件时就会自动运行附件中的病毒。早在18个月前微软已经发布了补丁程序,但是仍有众多Windows用户不予理睬,导致该病毒的广泛传播。在此提醒用户尽快下载补丁:IE 6.0用户:下载Internet Explorer 6.0 SP1
IE 5.5用户:下载Internet Explorer 5.5 SP1
IE 5.0用户:下载Internet Explorer 5.01 SP1
有关漏洞详细资料,请浏览:
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
或者下载“妖怪病毒”专杀工具。