病毒频频来犯 警惕邮件传播

（2004年8月6日，北京）Evaman、Mydoom、Reign、Glieder……本周病毒表现极为活跃，纷纷通过变种来迷惑用户，并试图躲过各种防毒产品的监视和查杀。考虑到邮件是病毒传播的主要途径，因此冠群金辰也提示广大用户要谨慎处理电子邮件，对于来源可疑的电子邮件，不要立即打开。 　　Win32.Evaman.C 　　病毒扫描： 　　Win32.Evaman.C是一个具有高普及度的蠕虫病毒，是一个以upx格式压缩的win32类可执行文件，也可能是附在邮件里的ZIP文档。初始运行时会打开记事本程序，然后将自己的WINTASKS.EXE复制到%System% 目录下，并通过修改注册表键值，使自己在每次重启系统时自动运行。 Win32.Evaman.C通过邮件传播，主要通过两种途径来收集邮件地址。第一种途径是搜索当前计算机用户的地址名册，以及C:到Z：中含有adb、asp等扩展名的文件；第二种途径是通过在email.people.yahoo.com搜索名称列表来获得地址。 蠕虫发送的邮件通过蠕虫存在的可变的信息体、主题、附件名称和虚拟地址产生，主题通常为SN: New secure mail、Secure delivery等等，消息的主体会分为三个部分，附件名称通常是mail、message、attachment等。 　　病毒危害： 　　Evaman.C会努力停止名字中含有uba、mc、Mc、av等的进程。如果该病毒在2006年1月1日或以后的日期运行，将会导致WINDOWS关闭或重新启动，并会导致一些服务被终止。它用这个来代替它运行E-MAIL的程序，因此病毒在这个日期以后就不会传播了。 　　病毒检测/清除： 　　KILL安全胄甲inoculateIT v23.66.04 vet 11.x/8495 版可检测/清除此病毒。 　　Win32.Mydoom.P 　　病毒扫描： 　　Win32.Mydoom.P是具有高度普及度和中度破坏性的蠕虫病毒，通过邮件和攻击后门进行传播，是一个ASP压缩的Win32可执行文件。运行时Mydoom.P将自己拷贝到%Windows%\java.exe。，并通过移动注册表键值来确保每次系统运行时有病毒副本运行。 　　通过邮件传播时，病毒会在所有固定驱动器中搜索含有.tx*、.wab*、.ph*等扩展名的文件夹中的邮件地址，同时还会通过搜索网站来货的邮件地址，例如Lycos, Altavista, Yahoo 和 Google。结果所包含的数字是任意的从20、50或100中选择。蠕虫从contact、 "reply", "mail", "mailto", "email" 和 "e-mail"中选择一个密码并通过一个web页面名使用它（病毒从当地的磁盘收集名称）搜索键值。病毒保存结果到临时文件夹并且利用常用的邮件地址发送文件到当地的计算机。 　　病毒危害： 　　Mydoom.P通过后门程序传播时会创造一个后门程序，监视TCP的1034端口，并尝试关闭rctrl_renwnd32、ATH_Note、IEFrame windows文件。 　　病毒检测/清除 　　KILL安全胄甲inoculateIT v23.66.02 vet 11.x/8489 版可检测/清除此病毒。 　　Win32.Reign.V 　　病毒扫描： 　　看着蠕虫病毒的层起云涌，特洛伊病毒也不甘寂寞。Win32.Reign.V就是一个具有中度破坏性的未被授权进入感染机器的后门特洛伊病毒。 　　当执行的时候，Reign.V将自己复制到\x0r\svshost.exe并修改注册表以确保在每次机器开始的时候文件可以运行。它也会建立一个'x0r_wk1ffdsfsddas1m1ksdjfhsdk_ver1_1_1'的互斥体以确保每次只有一个副本在受感染的机器中运行。 　　病毒危害： 　　Reign.V 通过使用键盘记录DLL asuigg.dll.来获取用户的按键。按键记录到\x0r\_keys.log并通过邮件发送到特洛伊的控制器上，一次来盗取用户的敏感信息。 同时该病毒还具有修改系统设置、创建后门、终止进程等危害。 　　病毒检测/清除： 　　KILL安全胄甲 inoculateIT v23.65.88vet 11.x/8477 版可检测/清除此病毒。