悠嘻猴 2008-7-31 13:17
Sality专杀
[size=10.5pt][/size]
[size=10.5pt][font=宋体]软件名称:Sality专杀 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件类别:专杀工具 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件版本: [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件大小:78.58KB [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]应用平台:Win2003/WinXP/Win2000/NT/WinME/Win9X/ [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]更新时间:2008-04-22 17:58:10 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]授权方式:免费软件 [/font][/size][size=10.5pt][/size]
[size=10.5pt][b][font=宋体]软件说明[/font][/b][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[align=center][size=10.5pt][/size][/align]
[size=10.5pt][/size]
[size=12pt][b][font=宋体]病毒评估[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒名称: Sality蠕虫变种Q [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒名称英文:Win32.Sality.q [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒类型:感染型 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]危险级别:★★★☆ [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]传播方式:通过网络共享传播 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]受影响的系统: Windows 2000, Windows XP, Windows Server 2003 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]未受影响的系统:Windows 3.x, Macintosh, Unix, Linux [/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]病毒危害:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt]1. [font=宋体]该病毒首先释放病毒体vcmgcd32.dll到%system32%文件夹下。然后加载vcmgcd32.dll到内存。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]2. vcmgcd32.dll[font=宋体]将被注入到其他进程中。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]3. [font=宋体]感染其他可执行程序:枚举注册表RUN下的自启动项得到程序路径,从而进行感染。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]4.[font=宋体]窃取系统信息,并将信息发送到指定的mail.ru域。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]5. [font=宋体]感染本机 .vdb, .avc, .key, .exe, .scr文件。 [/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]传播形式:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]该病毒属于多形态病毒,感染Win32 PE可运行程序。Win32.Sality.q病毒通过Win32/Bagle family变体下载。该病毒解密自身并在%System32%目录中生成一个vcmgcd32.dll文件。vcmgcd32.dll文件被注入其它的运行程序并运行其主程序代码。该病毒查找本地C:\到 Z:\ 的Windows PE文件进行感染。该病毒不感染大小在4K以下或者在20M以上的文件。病毒在它的固有码运行入口替代代码,并添加一个加密的病毒副本到主文件,随后运行主程序代码来隐藏病毒的存在。[/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]预防和处理办法:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt]1 [font=宋体]开启杀毒软件进行全面监控,并且及时更新病毒库。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]2 [font=宋体]及时升级系统漏洞。 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体] [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]下载地址:[url=http://www.sanlen.com/down/sl_down_164.htm]http://www.sanlen.com/down/sl_down_164.htm[/url][/font][/size]
[[i] 本帖最后由 悠嘻猴 于 2008-9-9 15:07 编辑 [/i]]