金山反病毒20041217_日报

北京信息安全测评中心、金山毒霸联合发布2004年12月17日热门病毒。

　　 今日提醒用户特别注意以下病毒：“恶魔”（Win32.Hack.Evil）和“红丝带变种F”（Worm.Redesi.f）。

　　 “恶魔”黑客工具，该病毒会将自己复制到系统的多个目录中，病毒运用了多种常用的方法获得运行权。一旦用户中了此病毒，病毒就会破坏用户的一些数据，并允许黑客远程非法操纵被感染的机器。
　　 “红丝带变种F”蠕虫病毒，该蠕虫通过电子邮件和mIRC传播，该病毒发作的时候会弹出一个Windows更新成功的消息框来欺骗用户，并用极具诱惑力的邮件诱使用户打开，从而使更多的用户机器感染该病毒。



　　 一、“恶魔”（Win32.Hack.Evil） 威胁级别：★★

　　 据金山毒霸反病毒工程师分析，该病毒会将自己复制到系统的多个目录中，病毒运用了多种常用的方法获得运行权，并在每个可写的逻辑磁盘的根目录生成autorun.inf文件，每次用户打开逻辑磁盘的时候病毒就悄悄地自动运行了。病毒还将自己加载到注册表的启动项，每次开机都将运行病毒，并修改文本文件的关联程序指向自身，这样用户每次打开文本文件的时候病毒又悄悄运行起来的。然后会关闭Windows 任务管理器，注册表编辑器，进程查看器，Excel应用程序，Word应用程序，包含字符串“play”和“.exe”的程序，命令行窗口程序。该病毒将导致用户辛辛苦苦编辑的Word文档，Excel表格瞬间丢失，用户不能用Windows 任务管理器关闭它，用户不能编辑注册表，用户不能打开命令行窗口，还不能运行带有“play”的软件。
　　 金山毒霸反病毒专家建议用户：请您不要轻易运行从Internet下载后未经杀毒软件处理的文件，强烈建议您先用最新病毒库的毒霸进行扫描，然后决定是否运行。



　　 二、“红丝带变种F”（Worm.Redesi.f） 威胁级别：★★

　　 据金山毒霸反病毒工程师介绍，这是一个通过电子邮件和mIRC传播的蠕虫病毒。该病毒发作的时候会弹出一个Windows更新成功的消息框来欺骗用户，并将病毒的五个副本拷贝到C盘根目录下，在注册表中添加启动项，实现病毒的开机自启动。病毒还会向C:\autoexec.bat中写入二条批处理命令，一条显示“With a fool no season spend, or be counted as his freind.”，另一条则是格式化C盘。通过更改mIRC的脚本配置文件，使得mIRC系统与病毒文件建立联系，扩展病毒的传播途径。病毒还会生成一个html文件C:\inetpub\wwwroot\default.htm，当用户打开该页面的时候，就会打开病毒文件。该病毒在Outlook Express的地址薄里面收集邮件地址，再以Microsoft的名义将病毒做为附件发送出去，该邮件极具欺骗性，用户很可能会受骗而去打开附件，从而感染该病毒。
　　 金山毒霸反病毒专家提醒用户：防止邮件病毒最好方法是不要轻易打开带附件的陌生邮件，如果一定要打开，请注意使用反病毒软件检测后再打开。注意定时升级杀毒软件到最新版本，随时打开邮件监控功能，养成良好的安全防范意识。



　　 金山毒霸反病毒工程师提醒您：请升级毒霸到2004年12月17日的病毒库可完全处理该病毒。如没有安装金山毒霸，可以登录到 http://online.kingsoft.com/ 使用金山毒霸的在线查毒或金山毒霸下载版来防止该病毒的入侵。