悠嘻猴 2008-9-17 09:16
“冬日桃花”病毒专杀 ——安铁诺专杀工具
[size=10.5pt][img]http://www.sanlen.com/upload/down_image/sl1220500280冬日桃花%20copy%20copy.jpg[/img][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]软件名称:“冬日桃花”病毒专杀 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件类别:专杀工具 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件版本: [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件大小:820KB [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]应用平台:Win2003/WinXP/Win2000/NT/WinME/Win9X/ [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]更新时间:2008-09-04 11:51:03 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]授权方式:免费软件 [/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][b][font=宋体]软件说明[/font][/b][/size][size=10.5pt][b][/b][/size]
[size=10.5pt][/size]
[align=center][size=10.5pt][/size][/align]
[size=10.5pt][/size]
[size=12pt][b][font=宋体]病毒评估[/font][/b][/size][size=12pt][b][/b][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒名称: “冬日桃花”病毒 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒名称英文:worm.win32.anilogo.b [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒类型:感染型下载者 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]危险级别:★★★★ [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]传播方式:通过U盘自启动传播 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]受影响的系统:Windows 2000, Windows XP, Windows Server 2003,VISTA [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]未受影响的系统:Windows 3.x, Macintosh, Unix, Linux [/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]病毒危害:[/font][/b][/size][size=12pt][b][/b][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒发作后劫持部分杀毒软件,并感染exe,scr文件。部分被感染的程序无法启动,360等安全工具无法启动。[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒感染PE文件时,在PE文件的尾部添加一个节用来保存病毒代码,修改入口点为病毒的代码起始位置。感染本地的可执行文件,不感染系统文件夹下的文件。[/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]传播形式:[/font][/b][/size][size=12pt][b][/b][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]当用户运行被感染的PE文件时,感染部分首先被触发。在kernel32.dll上寻找到getprocess函数以后,动态调用相关的API并保存到堆栈内,完成以上步骤后,病毒将自身写到与被感染文件同一文件夹下。并调用Winexec函数运行。[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]当刚才被释放的病毒体运行以后,在X:\WINDOWS\Font\system文件夹下释放ati2evxx.exe病毒文件。在每个盘的根目录释放ntdlr.exe文件,以及autorun.inf达到启动病毒的目的。[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下写入名称为TBMonEx的键值:X:\WINDOWS\Font\system\ati2evxx.exe[/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]预防和处理办法:[/font][/b][/size][size=12pt][b][/b][/size]
[size=10.5pt][/size]
[size=10.5pt]1.[font=宋体]不要打开来历不明的邮件; [/font][/size][size=10.5pt][/size]
[size=10.5pt]2.[font=宋体]使用具有邮件监控功能的杀毒软件; [/font][/size][size=10.5pt][/size]
[size=10.5pt]3.U[font=宋体]盘插入前请杀毒; [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体] [/font][/size][size=10.5pt][/size]
[align=center][size=10.5pt][font=宋体] 原文地址:[/font][/size][url=http://www.sanlen.com/down/sl_down_169.htm][size=10.5pt][color=#800080]http://www.sanlen.com/down/sl_down_169.htm[/color][/size][/url][size=10.5pt][/size][/align]
[align=center][size=10.5pt][/size][/align]
[size=10.5pt][/size]