本周,我们将主要关注以下几个病毒,分别是:网络天空变种Netsky.AG,Darby.gen,图片病毒JPGTrojan.D,Funner.A 和Nemsi.A。
Netsky.AG是通过对Netsky.B的可执行文件进行修改而产生的又一新变种。它在具特定扩展名的文件中搜寻不同的邮件地址,然后利用自有的SMTP引擎、藉由邮件将自己发送至上述地址。为了欺骗用户, Netsky.AG还会在被感染系统的文件中随机抽取一个邮件地址,在随后发送病毒邮件时将发件人一栏伪装成该地址。同时,这种蠕虫还可通过P2P文件共享程序传播。
每当Netsky.AG运行时都会在计算机屏幕上显示一个"出错"信息,并试图将自己复制到被感染计算机的所有驱动器上(除CD-ROM驱动)。该变种亦会删除由其他蠕虫(例如Mydoom.A或Mimail.T等)在系统注册表中创建的键值。
Darby.gen是蠕虫家族Darby未来变种的常用衍生代码,通过邮件和P2P文件共享程序传播。该蠕虫会终止被感染系统中的防病毒程序和其他安全应用程序的进程,例如防火墙和监视工具等,从而使得计算机容易遭受其他恶意程序的攻击。
今天介绍的第三个病毒是JPGTrojan.D,这是一种利用JPEG处理过程中的缓冲溢出漏洞、生成JPG图象的蠕虫。(详述请见微软MS04-028文件)
一旦打开JPGTrojan.D产生的图象,会引发诸如打开指定端口、允许黑客远程访问被感染计算机以及从因特网上下载某个可执行文件并在被感染机器上运行等等的后果。
蠕虫病毒Funner.A通过MSN聊天工具进行传播,主要表现为修改主文件、阻止用户访问某个特定网页。在Windows Me/98/95系统中,该蠕虫甚至还会修改SYSTEM.INI文件以确保每次系统启动时,Funner.A都会被运行并将自己的复制文件覆盖替换RUNDLL32.EXE文件。
今天要介绍的最后一个病毒是Nemsi.A。这种病毒本身并不会自动传播,只有在已感染该病毒的文件被四处分发时,才会最终入侵计算机。常见传播方式主要有:软盘、CD-ROMs,带有病毒附件的邮件,在线聊天通路等途径。
Nemsi.A通过事先嵌入的代码感染EXE文件。计算机一旦感染该病毒,其EXE文件的图标也会随之改变。每逢9月13号运行该病毒,将导致Windows系统蓝屏。
