预警：光华反病毒资讯(2月19日－25日)

    光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介：

一、W32病毒：W32.Rinbot.A 危害级别：★★★★★
    
    根据光华反病毒研究中心专家介绍，这是一个Win32病毒，长度 211,968 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统。它打开后门，连接到IRC服务器，等待黑客命令，利用系统漏洞传播。当收到、打开此病毒时，有以下危害：
    
A 复制自身到系统目录下jwmngr.exe
B 修改注册表项
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"JW Manager"="%System%\jwmngr.exe"
  使得病毒开机后自动执行
C 试图通过局域网共享传播
  尝试以下弱口令
 administrator
administrador
administrateur
administrat
admins
admin
adm
password1
password
passwd
pass1234
pass
pwd
007
123
1234
12345
123456
1234567
12345678
123456789
1234567890
2000
2001
2002
2003
2004
test
guest
none
demo
unix
linux
changeme
default
system
server
root
null
qwerty
mail
outlook
web
www
internet
accounts
accounting
home
homeuser
user
oem
oemuser
oeminstall
windows
win98
win2k
winxp
winnt
win2000
qaz
asd
zxc
qwe
bob
jen
joe
fred
bill
mike
john
peter
luke
sam
sue
susan
peter
brian
lee
neil
ian
chris
eric
george
kate
bob
katie
mary
login
loginpass
technical
backup
exchange
fuck
bitch
slut
sex
god
hell
hello
domain
domainpass
domainpassword
database
access
dbpass
dbpassword
databasepass
data
databasepassword
db1
db2
db1234
sql
sqlpassoainstall
orainstall
oracle
ibm
cisco
dell
compaq
siemens
nokia
control
office
blank
winpass
main
lan
internet
intranet
student
teacher
staff

D 连接IRC服务器z3n.phatcamp.org的TCP端口8080，等待黑客以下指令：
  收集系统信息
  扫描本地网络感染
  执行socks4代理
  对指定的主机进行分布式拒绝服务攻击
  下载执行指定文件
  启动http和ftp服务
  更新自身
  窃取网游口令
E 利用以下漏洞传播
  BID 18107 参见 http://www.securityfocus.com/bid/18107
  BID 19409 参见 http://www.securityfocus.com/bid/19409
  BID 5411  参见 http://www.securityfocus.com/bid/5411

    光华反病毒软件已经对这种病毒进行了处理，请用户升级后，使用光华反病毒软件清除。

二 W32病毒 W32.Spybot.APEO 危害级别：★★☆☆☆
    
    根据光华反病毒研究中心专家介绍，W32.Spybot.APEO 是一个 W32 病毒，长度  81,350  字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统。它打开后门，连接IRC服务器，等待执行黑客指令，当收到、打开此病毒时，有以下危害：
    
A 生成文件drivers\MSKSVRTSS.EXE到系统目录
B 修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\"Windows Portable Devices"="%System%\drivers\MSKSVRTSS.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Portable Devices"="%System%\drivers\MSKSVRTSS.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"Windows Portable Devices"="%System%\drivers\MSKSVRTSS.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Portable Devices"="%System%\drivers\MSKSVRTSS.EXE"
  使得病毒开机后自动执行
C 创建注册表项
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\"Windows Portable Devices"="%System%\drivers\MSKSVRTSS.EXE"
HKEY_CURRENT_USER\Software\Microsoft\OLE\"Windows Portable Devices"="%System%\drivers\MSKSVRTSS.EXE"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Windows Portable Devices"="%System%\drivers\MSKSVRTSS.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole\"Windows Portable Devices"="%System%\drivers\MSKSVRTSS.EXE"
D 修改文件sfc.dll和sfc_os.dll，破解系统文件保护
E 修改文件dllcache\tcpip.sys和drivers\tcpip.sys，破解windows TCP连接限制
F 从服务器 i-stuff.dynu.com 的ftp端口1981下载执行文件
G 打开后门
H 连接到IRC服务器t.dawnsoul.info 的TCP端口7654等待黑客以下命令：
  复制和删除文件
  下载文件
  显示状态
  显示IP地址
  对本地网进行端口扫描
  启动ftp服务
  启动IE
  结束进程
  结束其他病毒
  结束杀毒软件
  列出进程
  进行网络嗅探
   
    北京日月光华软件公司网站（www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到2月19日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。