每日病毒及木马播报(2008-05-13)

墨者病毒播报:W32病毒：W32.Mariofev.A
    
    根据墨者安全专家介绍，W32.Mariofev.A 是个 W32 病毒，长度 72,192 字节，感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 系统，它通过网络共享传播，当收到、打开此病毒时，有以下危害：
    
    A 创建以下文件
    系统目录\[RANDOM NAME]
    系统目录\bmf.cs
    系统目录\ccs.so
    系统目录\gh.l
    系统目录\mn.n
    系统目录\ntpl.bin
    系统目录\nvrsma.dll
    系统目录\yl.po
    系统目录\acl.exe
    系统目录\MarioForever.exe
    盘符:\MarioForever.exe
    B 修改以下文件
    系统目录\dllcache\user32.dll
    系统目录\user32.dll
    C 创建注册表项
    HKEY_LOCAL_MACHINE\SOFTWARE\[NUMBER]\"[34 DIGIT HEX NUMBER]" = "[RANDOM DATA]"
   
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"ztpInit_Dlls" = "nvrsma"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\"ccnt" = "[NUMBER OF INFECTION ATTEMPTS]"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\"mid" = "[RANDOM HEX DATA]"
    D 删除含有以下内容的注册表项，降低安全设置，影响系统使用
    *\shellex\ContextMenuHandlers\NOD32 Context Menu Shell Extension
    AllFilesystemObjects\shellex\ContextMenuHandlers\SpySweeper
    ALWIL Software\Avast
    Arovax AntiSpyware
    Chilkat Software, Inc.
    ComputerAssociates\eTrustPestPatrol
    Doctor Web, Ltd.
    FRISK Software International
    Grisoft\AVGAntiSpyware
    KasperskyLab
    McAfee\McAfee AntiSpyware
    McAfee\VirusScan
    Panda Software
    PepiMK Software\SpybotSnD
    SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-aware 6 Personal
    SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Aware SE Personal
    SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiVir PersonalEdition Classic
    SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ClamAV
    SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareBlaster_is1
    SOFTWIN\BitDefender Desktop\Maintenance\Install
    Spyware Begone!
    Symantec\Symantec AntiVirus
    SYSTEM\ControlSet001\Services\avgntflt
    SYSTEM\CurrentControlSet\Services\WinDefend
    Ukranian Antivirus center
    Vba32
    VMware, Inc.
    VMware, Inc.\VMware Tools
    E 创建以下服务，在开机时启动
    服务名: SCNa
    显示名: SCNa Service
    启动类型: 自动
    F 创建注册表项
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCNa 
    G 连接以下网址，下载配置文件和更新自身
    http://66.36.241.45/sdb/gate/[已删除]
    http://66.36.241.45/sdb/gate/data[已删除]
    H 尝试使用以下密码访问网络共享　 
    !@#
    1212
    123
    123456
    1313
    666
    777
    adm
    admin
    administrator
    administrator
    asa
    pass
    password
    qaz
    qazxsw
    qqq
    qwerty
    test
    zaq
    zaqwsx
    zzz
    I 复制自身到所有盘根目录　acl.exe
墨者安全专家建议：
 1、下载并安装“墨者安全专家”，并开启“革离术”并根据提示创建安全用户，保护自己的系统。
 2、使用系统安全漏洞中心，检查系统漏洞，发现漏洞请点击“修复”完成漏洞修补。
 3、养成良好的网络使用习惯，及时开启防火墙监控功能，切断病毒传播的途径，不给病毒以可乘之机。
 4、没有安装杀毒软件的用户可以下载安装终身免费的正版“趋势反病毒软件”，并开启自动升级功能将病毒库更新为最新。
 5、定期对系统进行扫描。