市信息委发布2005年7月05日至7月11日病毒预报

　　病毒名称: Worm.QQ.TopFox.b （狐狸王变种B）

　　危害程度：中

　　受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003

　　未受影响的系统: Windows 3.x, Macintosh, Unix, Linux

　　病毒危害：

　　1. 自动生成病毒文件

　　2. 修改系统注册表

　　3. 自动向QQ好友发送病毒文件

　　4. 打开这些文件就会被感染

　　5. 盗取用户的相关信息

　　感染形式：

　　该病毒会自动向用户的QQ好友发送名为“奥运会‘偷拍’图片集锦搞笑味十足.jpg.exe”等的病毒文件，其他用户打开这些文件就会被病毒感染。该病毒还会盗取用户的网上银行、QQ的账号和密码。

　　通过OICQ进行传播的蠕虫病毒
　　病毒采用VB编写。
　　病毒运行后有以下行为：
　　一、将自己分别复制到以下目录：
　　1.%SYSDIR%WMIMGR.EXE；
　　2.%SYSDIR%DHelp.dll；
　　3.%WINDIR%DHelp.dll；
　　4.%SYSDIR%WbemDHelp.dll；
　　（"DHelp.dll"文件并不是动态库文件，而是一个可执行文件）

　　二、修改注册表以下键值：
　　1.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpoliciessystem
　　增加数据项："disabletaskmgr"数据值为：0
　　2.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpoliciessystem
　　增加数据项："disableregistrytools"数据值为：0X00000001
　　3.HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
　　增加数据项："LoadPFW"数据值为："WMIMGR.EXE"

　　三、修改本机计算机以下文件，使这些文件被运行时会启动"DHelp.dll"文件，以达到病毒自启动的目的：
　　1.%WINDIR%EXPLORER.EXE
　　2.%WINDIR%NOTEPAD.EXE
　　3.C:Program FilesIEXPLORE.EXE
　　4.%SYSDIR%DllCACHEEXPLORER.EXE
　　5.%SYSDIR%DllCACHENOTEPAD.EXE
　　6.%SYSDIR%DllCACHEIEXPLORE.EXE

　　四、通过OICQ发送病毒文件，病毒文件名有以下可能：
　　"台湾裸体女主播-许佳容写真"
　　"美女弯下腰，似露非露(看了就流口水)"
　　"美女激情大暴光！！！"
　　"纯洁之后"
　　"淫荡初露――超新AV女"
　　"翻版梦露为著名杂志GQ宽衣"
　　"梁咏琪露两点照片(他们说地不是合成照)"
　　"裤子被人撕烂子的她却春光明媚[转帖]"
　　"美女，这是网吧啊，你也敢脱啊？"
　　"性感，火辣（１８岁以下慎重考虑要不要接过去了）"
　　"高清晰美女写真[40张]"
　　"一个正直记者因拍摄了这张照片被迫离职"
　　"其实我是个可爱的视频MM----看我的照片

　　五、指定网站的文件到本地计算机运行。

　　预防和清除：

　　安装并启用网络和病毒防火墙，及时安装系统更新补丁。

　　金山毒霸以及瑞星杀毒软件当前版本即可防御或清除该病毒。

　　其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。

　　病毒名称: Trojan.PSW.MBeast.g （魔兽木马变种G）

　　危害程度：中

　　受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003

　　未受影响的系统: Windows 3.x, Macintosh, Unix, Linux

　　病毒危害：

　　1. 生成病毒文件

　　2. 修改系统注册表

　　3. 在根目录下建立病毒文件

　　4. 隐藏病毒文件，避免被杀毒软件查杀

　　5. 窃取游戏帐号和密码信息，并发送到指定信箱

　　感染形式：

　　病毒运行后会在D、E、F盘的根目录下建立文件。用户在“我的电脑”或资源管理器中双击这些磁盘就会激活病毒文件。病毒试图利用特殊手段隐藏自身，避免杀毒软件查杀。病毒会自动窃取染毒计算机上网络游戏“魔兽世界”和“大话西游”的账号和密码等信息，并将这些信息发送给***。

　　预防和清除：

　　安装并启用网络和病毒防火墙，及时安装系统更新补丁。

　　金山毒霸以及瑞星杀毒软件当前版本即可防御或清除该病毒。

　　其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。

　　病毒名称: Worm.Prex.d （Prex变种D）

　　危害程度：中

　　受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003

　　未受影响的系统: Windows 3.x, Macintosh, Unix, Linux

　　病毒危害：

　　1. 通过MSN传播蠕虫病毒

　　2. 生成病毒文件

　　3. 欺骗用户点击信息地址

　　4. 被感染的系统开启后门

　　5. ***可远程控制该系统

　　感染形式：

　　这是一个通过MSN传播的蠕虫病毒。该病毒会在用户的MSN用户列表中选择一个用户的邮箱地址添加到要发送信息中，以欺骗用户点击信息中的地址，并且会以邮件***的形式向其他用户发送RBot病毒，使感染的系统开启危害极大的后门，让远程***肆无忌惮的控制该系统。

　　这是一个通过MSN传播的蠕虫病毒,该病毒会在用户的MSN用户列表中选择一个用户的邮箱地址,发送信息,并且会以邮件***的形式向其他用户发送RBot病毒.
　　1.通过http://tehcia.us/pics/pics.phpemail发送RBot病毒.
　　2.发送的信息会是
　　woah, u look hell funny!!
　　http://teh-cia.us/pics/pics.php?email=联系人地址

　　预防和清除：

　　安装并启用网络和病毒防火墙，及时安装系统更新补丁。

　　金山毒霸以及瑞星杀毒软件当前版本即可防御或清除该病毒。

　　其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。

　　病毒名称: Trojan/PSW.Mir7005.cf.b （传奇木马“密码7005”变种）

　　危害程度：中

　　受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003

　　未受影响的系统: Windows 3.x, Macintosh, Unix, Linux

　　病毒危害：

　　1. 自动生成病毒文件

　　2. 网页中加入恶意代码

　　3. 窃取游戏帐号和密码等信息

　　4. 通过电子邮件发送信息到指定信箱

　　5. 终止多种传奇木马的进程

　　感染形式：

　　某转贴了大量芙蓉姐姐照片的网页（http://www.xxxx.com/xx/xx.html）中暗藏传奇木马“密码7005”变种（Trojan/PSW.Mir7005.cf.b），病毒企图借芙蓉姐姐照片的火爆点击率再次袭击网络。
　　病毒传播者在此网页中加入恶意代码，网友在浏览芙蓉姐姐图片的同时，后台却偷偷连接其他恶意网页，病毒文件。“密码7005”系专偷传奇帐号的木马病毒，该病毒运用键盘和鼠标挂钩技术窃取传奇游戏帐号、密码等信息，通过电子邮件发送给病毒作者。同时还会终止多种其他传奇游戏木马的进程。

　　预防和清除：

　　安装并启用网络和病毒防火墙，及时安装系统更新补丁。

　　金山毒霸以及瑞星杀毒软件当前版本即可防御或清除该病毒。

　　其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。