中新網(wǎng)2月11日電 來自江民快速反病毒小組的最新消息,時下雖然距離西方情人節(jié),還有幾天的時間,但是在網(wǎng)絡上針對情人節(jié)的病毒,已扎堆出現(xiàn)并開始蔓延。
江民反病毒專家提醒用戶,雖然當前的反病毒軟件的對"愛蟲"、"情人節(jié)"、"羅米歐與朱麗葉"等老病毒,能進行有效地查殺清除,但用戶在收發(fā)電子郵件,仍要多加小心。重大節(jié)假日是電腦病毒的多發(fā)期,真正應提防的是更具殺傷力的新病毒以及老病毒變種出現(xiàn)。
2月11日,江民公司成功截獲“屏幕保護”(也稱硬盤殺手)的最新變種病毒I-Worm/Opaserv.q。該變種病毒可刪除原來流行的“屏幕保護”病毒,而且還會自動從一個指定的網(wǎng)站進行自身升級,以躲避反病毒軟件的查殺。
江民反病毒專家介紹,該變種病毒可以通過網(wǎng)絡共享以及邏輯C盤,在所有的WINDOWS平臺下運行傳播感染,并象其他蠕蟲病毒一樣修改系統(tǒng)注冊表,使得每次啟動系統(tǒng)時都能自動運行。
該變種病毒刪除原“屏幕保護”病毒的步驟如下:
該網(wǎng)絡蠕蟲病毒一旦被執(zhí)行,就會首先檢查電腦系統(tǒng)是否感染了“屏幕保護”病毒,如發(fā)現(xiàn)電腦中存在“屏幕保護”病毒,則立刻進行刪除,被刪除的程序中包含WINDOWS目錄下的三個可執(zhí)行文件scrsvr.exe,alevir.exe以及brasil.exe。
隨后該變種病毒則連續(xù)產(chǎn)生感染、查找以及自動升級三個線程:
第一個線程是感染線程,由該變種病毒自身創(chuàng)建,感染的對象是同一個域中的其他機器,只要有寫權限的機器,該病毒都能感染。該病毒之所以能感染主要是利用了共享級別的WINDOWS密碼口令的漏洞來感染其他機器的,正是由于有此安全漏洞,使得WINDOWS/95/98/ME的系統(tǒng)即使共享目錄被密碼保護也能感染該病毒。
第二個線程是查找線程:主要功能是查找網(wǎng)絡共享的C盤的根目錄。該線程反復搜索同一域里的C盤的根目錄,并反復搜索。一旦搜索到共享尋址的響應,該變種病毒的第一線程啟動,利用WINDOWS可能存在的漏洞進行傳播、感染。
第三個線程就是升級線程:和許多的“殺病毒程序”一樣,該線程可以自動從一個指定的網(wǎng)站上來升級網(wǎng)絡蠕蟲自身,以躲避反病毒軟件對其的查殺。
從以上對該病毒的分析不難看出,“變化莫測”已成為今后網(wǎng)絡蠕蟲病毒發(fā)展的一個新特性。