|
[快讯]2003年2月17日,瑞星全球反病毒监测网在国内率先截获一个混合型脚本病毒“叛逃者”(VBS.Evade)病毒。该病毒不攻击系统文件,但是会感染、破坏网页类文件、多媒体文件和办公文件,而且文件一旦被破坏就无法恢复。
“叛逃者”病毒还会象蠕虫病毒一样通过OUTLOOK邮件进行传播,重要的是,该病毒会将被感染的Office文件当做邮件附件发送出去,造成严重泄密。既破坏文件又泄密,因此对于企事业单位的局域网用户来说,这个病毒的危害性更大。
瑞星公司于2月17日晚间进行紧急升级,升级版本号为:15.22.01, 请用户及时升级。
该病毒用以下方式进行感染和传播:
一、该病毒运行时会复制出WINSTART.VBS、NETLNK32.VBS、WININST32.VBS、WINNT32.VBS、WINNET32.VBS、CONVERSATION.VBE等6个病毒体,然后将它们拷入系统目录,以增大运行机会,并在所根目录下生成:PASSWORDS.VBS的文件来诱惑用户运行病毒,当病毒运行时就会感染硬盘上的所有VBS类型的文件,将病毒代码加密后插入这些文件中。
二、该病毒还会生成:EVADE.GIF、EVADE.JPG两个图形文件,然后将病毒代码藏入其中,以防止用户发现病毒。
三、病毒在完成了以上工作后,会直接感染Word、Excel的模板文件,只要用户打开这类文档文件,病毒就可以运行,然后不断地感染其它的文档文件。
四、病毒还会查找计算机中的地址薄,通过邮件进行传播.
病毒会生成以下标题的信件:
"Here is that file"
"Important file"
"The file"
"Word file"
"The file you wanted"
"Here is the file"
邮件内容为:
"The file I am sending you is confidential as well as important;
so don't let anyone else have a copy."
邮件的附件是被感染的当前病毒文档,当用户打开该病毒文档时,病毒便开始运行。
该病毒的双重威胁:破坏文件+泄密
一、 病毒运行后会用病毒自身覆盖掉以下目录中的.mp3 .mp2 .avi .mpg .mpeg .mpe .mov .pdf .doc .xls .mdb .ppt .pps等十余种数据文件,并且无法恢复:
C:KazaaMy Shared Folder
C:My Downloads
C:ProgramFiles%KazaaMy Shared Folder
C:ProgramFiles%KaZaA LiteMy Shared Folder
C:ProgramFiles%BearshareShared
C:ProgramFiles%Edonkey2000
C:ProgramFiles%MorpheusMy Shared Folder
C:ProgramFiles%GroksterMy Gorkster
C:ProgramFiles%ICQShared Files
二、 病毒在感染Office类型的文件时,会不断地将当前被感染的这些文档当做病毒邮件发送出去,造成计算机文档数据的严重泄密。
|
