旅游

警惕蠕虫病毒Win32

2019-04-11 03:14:24来源:励志吧0次阅读

蠕虫病毒 rta.A 普及度:高

病毒名:rta.A

别名: Win32/rm, rta.a

种类:Win32

类型:蠕虫 疯狂性:低

破坏度:中

普及度:高

病毒特征:

rta.A是一种通过络传播的蠕虫病毒。它以附件的形式到达,内容是有关震荡波病毒的通知。它伪装发信人地址是support@ 。附件是一个大小为8,880字节的可执行文件。

感染方式:

当病毒激活后,Turta.A把自己复制到:

%System%\e

%System%\e

它还会修改注册键值确保有一个e在系统启动时运行:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32 = "%System%\e"

它也会改变Win9x系统的i文件。在资源管理器运行时病毒会执行:

shell=e %System%\e

注释:在Windows NT/2000/XP/2003系统上,改变操作系统的登记键值:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "e %System%\e"

它把自己拷贝到开始文件夹:

%Startup%\e

通过查询注册表找到特定区域中的开始文件夹:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

传播方式:

Turta在IE临时文件夹内搜索邮件地址作为发送病毒邮件的目标地址,它会搜索下列文件后缀名:

.abd、.asp、.dbx、.htm、.html、.tbb、.txt、.wab

病毒收集到的邮件地址都保存在 %Windows%\g文件中。

注释:’%windows%’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下, WIN2000和NT的安装位置是C:\WINNT ;95,98和ME的是c:\windows;xp的是c:\windows.

病毒利用自己的SMTP协议发送消息。哄骗收件人称消息是由微软公司发出的,消息的特性为:

From:

support@ support@

Subject:

Sasser worm! Important information 羽悦本草
!

主要的正文内容是:

What You Should Know About the Sasser Worm and Its Variants

...尾灯
...

the Microsoft Security Advisor web site, or Contact Us.

Attachment:

e

危害:

下载和执行文件

Turta从特定的URL下载文件:

http://instant-*******.biz/e:

它保存文件到%Windows%\e,并执行文件。下载的文件是 ybot病毒的变体。

修改系统设置

Turta修改hosts文件(此文件包含一些主机的映射地址),将一些指定的反病毒相关的域名指向到本机地址(127.0.0.1),这样做可以阻止访问指定的反病毒站域名渔夫帽
。在XP, 2000 和 NT系统中 host文件查找 %System%\drivers\etc\hosts:在9x系统host文件查找%Windows%\hosts.

被影响的域是:

......

注释:受影响的host文件可能会被认为是at.A.。

病毒的清除:

kill 安全胄甲23.65.30可以清除它。

分享到: