光华反病毒资讯(7月23日－7月29日)祥述

　　一、后门病毒：W32.Phoney.A 危害级别：★★★★☆

　　根据光华反病毒研究中心专家介绍，该病毒长度 270,336 字节，感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000系统。它通过影射驱动器传播，减低系统安全设置。当收到、打开此病毒时，有以下危害：

　　A 复制自身到以下文件 C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif

　　Win目录\Autorun.inf

　　系统目录\web.exe

　　Win目录\winxp.exe

　　当前目录\[目录名].exe

　　B 生成以下文件到所有影射驱动器根目录 AUTORUN.INF

　　microsoft.exe

　　C 创建以下注册表项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Rontok" = "Explorer.exe "%Windir%\winxp.exe""

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %Windir%\winxp.exe"

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Bron" = "%Windir%\winxp.exe"

　　使得病毒每次开机后自动执行

　　D 修改以下注册表，减低系统安全设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "4"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoClose" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDesktop" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"Nofolderoptions" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\"NoNetSetup" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispCPL" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\"Disable = "4"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Auto" = ""1""

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableConfig" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"DisableMSI" = "1"

　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"LimitSystemRestoreCheckpointing" = "1"

　　E 修改以下注册表，更改系统执行文件设置

　　HKEY_CLASSES_ROOT\batfile\shell\open\command\"(Default Value)" = ""%System%\web.exe" "%1" %*"

　　HKEY_CLASSES_ROOT\comfile\shell\open\command\"(Default Value)" = ""%System%\web.exe" "%1" %*"

　　HKEY_CLASSES_ROOT\exefile\"(Default Value)" = "File Folder" = ""%System%\web.exe" "%1" %*"

　　HKEY_CLASSES_ROOT\lnkfile\shell\open\command\"(Default Value)" = ""%System%\web.exe" "%1" %*"

　　HKEY_CLASSES_ROOT\piffile\shell\open\command\"(Default Value)" = ""%System%\web.exe" "%1" %*"

　　F 修改以下注册表，使得病毒在安全模式下启动

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\"AlternateShell" = "%System%\web.exe"

　　G 在上午8点到晚上8点半之间，每半个小时启动一次计算机

　　H 在以下时间 08:13:10 AM

　　08:48:10 AM

　　09:17:10 AM

　　09:51:10 AM

　　10:10:10 AM

　　10:46:10 AM

　　11:19:10 AM

　　11:38:10 AM

　　12:12:10 PM

　　12:49:10 PM

　　01:41:10 PM

　　02:06:10 PM

　　02:27:10 PM

　　03:15:10 PM

　　03:54:10 PM

　　04:10:10 PM

　　04:43:10 PM

　　05:16:10 PM

　　05:42:10 PM

　　06:17:10 PM

　　显示图片（假Norton）见图

　　
I 关闭含有以下字符标题的窗口（多为杀毒软件）

　　ANT

　　ANTI

　　ASM

　　AVAST

　　AVS

　　BUG

　　CLEANER

　　CONF

　　DBG

　　DETEC

　　ESSET

　　Edit

　　Editor

　　Folder

　　INSTALL

　　KILL

　　Local

　　MCAFEE

　　NOD32

　　NORTON

　　NTVDM

　　OPEN

　　Options

　　PLAY

　　PROC

　　REG

　　REM

　　REMOV

　　REST

　　Registry

　　SAVE

　　SCAN

　　SETUP

　　Settings

　　TASK

　　UPDAT

　　UPG

　　VIR

　　VIRUS

　　W32

　　WALK

　　J 关闭以下类型的窗口 ComboBox

　　ComboBoxEx32

　　RebarWindow32

　　光华反病毒软件已经对这种病毒进行了处理，请用户升级后，使用光华反病毒软件清除。

　　二 宏病毒 W97M.Mupps 危害级别：★★☆☆☆

　　根据光华反病毒研究中心专家介绍，W97M.Mupps 是一个宏毒，感染 word 文件, 感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 系统。它生成后门连接到远程服务器，当收到邮件、打开附件时，主要有以下危害：

　　A 下载生成文件 insert.doc - clean word document

　　B 打开此文件，生成后门svdhost.exe

　　C 连接到服务器

　　160.149.157.132 通过 TCP 端口 443

　　160.149.157.132 通过 TCP 端口 22

　　160.149.157.132 通过 TCP 端口 80

　　北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。