瑞星每日计算机病毒播报 7月11日

    新华网天津７月１１日电（记者张建新）国家计算机病毒应急处理中心经过监测发现，我国近期又出现了“爱之门”和“贝革热”病毒的新变种，提醒广大计算机用户注意防范。

    “爱之门”病毒的新变种运行后常驻内存，并在windows文件夹、系统文件夹和C盘根目录下生成多个自身拷贝。同时对注册表进行多处改动，修改.txt（文本文件）的关联，使得用户在运行.txt的时候，实际上是在运行病毒。病毒可通过电子邮件进行传播，有可能以回复正常邮件的形式到达，病毒还有可能将发信人的地址伪装成hotmail、MSN、YAHOO、AOL等大公司的邮件地址。另外病毒可通过网络共享进行传播。

    “贝革热”病毒在沉寂数日后，也出现了新的变种，提醒用户对电子邮件的处理一定要谨慎，不确定的附件应先对其进行检测，确定无毒后方可运行，同时要及时的升级杀毒软件，并启动“实时监控”和“邮件监控”功能。

    病毒名称：“爱之门”病毒变种（Worm_Lovgate.AD）    病毒种类：蠕虫

    感染系统：Windows９５/９８/Me/NT/２０００/XP    病毒特性：

    １、生成病毒文件

    病毒会将大量可执行文件替换成病毒副本文件，并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。在%Windows%文件夹下生成：SVCHOST.EXE和SYSTRA.EXE。在%system%文件夹下生成：HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盘根目录下生成：AUTORUN.INF和COMMAND.EXE。

    ２、修改注册表

    病毒在注册表中添加以下项目，使得自身能够作为服务运行：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下添加SystemTra ="C:\Windows\SysTra.EXE"COM++ System = "svchost.exe"

    病毒在注册表中添加以下项目，使得自身能够随系统启动而自动运行，在HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows下添加run = "RAVMOND.exe" WinHelp = "C:\Windows\System32\TkBellExe.exe" Hardware Profile = "C:\Windows\System32\hxdef.exe" VFW Encoder/Decoder Settings ="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" MicrosoftNetMeeting Associates, Inc. = "NetMeeting.exe"Program In Windows = "C:\Windows\System32\IEXPLORE.EXE" Shell Extension = "C:\Windows\System32\spollsv.exe" Protected Storage = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"

    病毒修改以下注册表项目，这样一来，用户在运行.txt文本文件的时候，实际上就是在运行病毒拷贝：HKEY_CLASSES_ROOT\txtfile\shell\open\command default ="Update_OB.exe %1"（原始数值为%SystemRoot%\system32\NOTEPAD.EXE %1）HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command default = "Update_OB.exe %1"（原始数值为%SystemRoot%\system32\NOTEPAD.EXE %1） 

   ３、修改文件

    病毒修改文件AUTORUN.INF[AUTORUN]Open="c:\COMMAND.EXE"/StartExplorer

    ４、通过电子邮件进行传播   

    （１）病毒搜索系统邮箱，回复找到的电子邮件，并将病毒作为附件进行传播。

    标题：Re: <邮件原始主题>  

    附件：存在多种形式，扩展名为.exe、.pif、.scrsong.MP３.pif

    （２）病毒从下列扩展名的文件中搜索邮件地址：ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB，并向这些地址发送带毒的电子邮件。

    病毒邮件特征如下： 

    发件人：

    %病毒体内选取的特定字符%.aol.com  

    %病毒体内选取的特定字符%.hotmail.com   

    %病毒体内选取的特定字符%.msn.com   

    %病毒体内选取的特定字符%.yahoo.com   

    标题：<为下列之一>    hi    hello     Mail Delivery System    Mail Transaction Failed   

    内容：<可变>

    附件：

    文件名为body、data、doc、document、file、message、readme、test、text或zge，扩展名为BAT、EXE、PIF、SCR或ZIP。病毒会避免向含有特定字符串的邮件地址发送带毒的电子邮件，这些字符串多与反病毒以及计算机安全相关。

    ５、通过网络传播

    病毒会在Windows文件夹下创建一个名为"Media"的共享文件夹，并在其中生成自身的拷贝。病毒还会扫描本地网络的计算机，尝试通过密码探测进入 "Admin$"共享进行传播，一旦登录成功，病毒会在远程计算机的"Admin$\System32"文件夹中生成自身拷贝，名称为"NETMANAGER.EXE"。（完）