常见病毒及处理方法

病毒索引表

APP_SEVU.A BAT_MUMU.A BAT_SASSER.A PE_LOVGATE.AC-O PE_NIMDA.A-O PE_Parite.A TROJ_STARTPAG.A WORM_MOFEI.B TROJ_TIMESE.C TSPY_AGENT.CWN TSPY_GAMEC.J TSPY_KEYLOG.BF TSPY_LEGMIR.BD TSPY_LMIR.GI VBS_REDLOF系列 VBS_SORACI.A VBS_STARTER.B WORM_AGOBOT.ZX WORM_BAGLE.AZ WORM_CELLERY.F WORM_HESI.D WORM_LOVGATE.F WORM_LOVGATE.G WORM_MABUTU.A WORM_MSBLAST WORM_MUMU.B WORM_MYDOOM.F WORM_NETSNAKE.C WORM_REPER.A WORM_RONTKBR.B WORM_RONTKBR.GEN WORM_RONTOKBRO.D WORM_SDBOT.ABQ WORM_SDBOT.CKT WORM_SILLYFDC.C WORM_TRAXG.A WORM_TRAXG.B WORM_TRAXG.S WORM_WUKILL.AH WORM_WUKILL.B XF_NETSNAKE.A BKDR_BLACKHOLE.F PE_PARITE.A-1 BKDR_COREFLOOD.A PE_TENGA.A BKDR_GRAYBIRD.CW PE_VALLA.A BKDR_GRAYBIRD.KR POLYBOOT-B BKDR_HUPIGON.AGF SASSER系列 BKDR_HUPIGON.AUT TROJ_BOOT.AA BKDR_HUPIGON.AY BKDR_HUPIGON.BG BKDR_HUPIGON.H BKDR_NPFECT.A TROJ_CLICKER.JL TROJ_DUMARIN.G TROJ_LEMIR.HU TROJ_DLOADER.CWA W97M_LEXAR.C WORM_AGOBOT系列 WORM_TOMPAI系列 BKDR_REMOTESPY.A TROJ_LEMIR.YN BKDR_TOMPAI系列 TROJ_LMIR.FA HKTL_ROOTKIT.CK HTML_TRAXG.A NETSKY系列 NETSNAKE.A系列 NIMDA系列 PE_FUNLOVE系列 WORM_TDIROOT.C TSPY_LEGMIR.OQ PT_BFJNT TROJ_AGENT.CHS WORM_SILLY.BN PE_LGEMIR.D WORM_RJUMP.A TROJ_CHIMOZ.AC TSPY_LEGMIR.RX WORM_DELF_CSA TROJ_VB.BDN WORM_SASSER.U WORM_DELF.DAR TROJ_LMIR.IM TROJ_ROOTKIT.E TROJ_SMALL.AHF TROJ_SMALL.AJY TROJ_SMALL.BPH WORM_SIWEOL.A BKDR_SDBOT.ME WORM_DELF.BTC RTKT_AGENT.CVG TROJ_KONYAT.A TROJ_LEGMIR.A TROJ_AUTDROP.DR TROJ_TMFNF.A TROJ_AGENT.DLQ TSPY_QQPASS.MI TSPY_LEGMIR.WE WORM_DELF.CWJ WORM_LEGMIR.T WORM_LOVEGATE.W WORM_VB.F WORM_WUKILL.GEN WORM_LOVGATE.GEN WORM_TDIROOT.A BKDR_HUPIGON.ASI WORM_SIWEOL.B TROJ_GENERIC WORM_DELF.BRF WORM_TRAXG.AO TROJ_AGENT.DAO PE_LOOKED.AH-O PE_TUFIK.D BKDR_THEEF.J ADW_ROOGOO.D WORM_RANDEX.AH PE_LOOKED.BF JS_NIMDA.A WORM_NETSKY.AQ TROJ_VANTI.I BKDR_HUPIGON.OZ TSPY_AGENT.CLR WORM_LOVGATE.BH JS_MHTREDIR.HR TROJ_CHIMOZ.AB TSPY_QQPASS.QQ TSPY_WOW.FC TSPY_AGENT.CDV TSPY_QQDRAGON.AY WORM_DELF.BTC WORM_WAREZOV.EQ VBS_REDLOF_A系列 WORM_TOMPAI.A TROJ_QQHELPER.AA TROJ_SMALL.BEP TSPY_LINEAGE.AWO TROJ_ADLOAD.IE WORM_SILLYFDC.AN WORM_RANDEX.AI WORM_STRATIO_BV PE_LOOKED.HH TSPY_QQPASS.AAQ PE_LOOKED系列 TSPY_QQPASS.AOE HTML_FUJACKS.AL ADW_BAIDU.E PE_CEKAR.B WORM_DELF.JAG HTML_FUBALCA.AP WORM_VB.CII WORM_VB_CEZ RTL.GenClean.ON VBS_AGENT.EJK WORM_SILLY.DD HTML_AGENT.AFBL HTML_SILLY.CQ PE_LOOKED.ID WORM_AGENT.FZW PE_LOOKED.CY WORM_DELF.DFB HTML_FUJACKS.E TROJ_DELF.CTY WORM_VB.CVS PE_DZAN.A ALS_BURSTED.E TSPY_KEYLOGGE.AI HTML_FUJACKS.A TSPY_VB.CBJ WORM_FUJACKS.AN PE_VIRUT.A WORM_SASSER.DAM PE_LOOKED.EG HTML_DLOADER.GUR BKDR_HUPIGON.BNV TSPY_QQROB.AQD HTML_FUJACKS.AN WORM_VB.BWP POSSIBLE_INFOSTL PE_TUFIK.D BKDR_HUPIGON系列 PE_LUDER.CH BKDR_HUPIGON.ETG POSSIBLE_Fujak-1 WORM_QQPASS.BFP TROJ_GENERIC.APC WORM_IRCBOT.ADU TROJ_DELF.DVG VBS_RUNAUTO.F PE_MADANGEL.D WORM_VB.FXN PE_RECTIX.A WORM_VB.BDN HTML_IFRAME_FR POSSIBLE_AUTORUN TSPY_ONLINEG.OPQ HTML_IFRAME.AV JS_IFRAME.AA PE_PARITE.A-0 VBS_AUTORUN.APX Mal.Otorun2 WORM_ECODE.B-CN TROJ_AGENT.ANLB TROJ_DROPPER.ECQ BKDR_CONSTRUC.M HTML_IFRAME_SMA PE_SALITY.AZ-O TROJ_DOWNAD.INF BKDR_DELF.GAX PE_MUMAWOW.AH TSPY_QQDRAGON.BL Suspicious_File RTL.USB.Immunity RTL.AUTORUN.INF BKDR_HUPIGON.KUJ VBS_INVADESYS.AN WORM_DRONZHO.A HTML_IFRAME.FR VBS_AGENT.DMU PE_REULJ.A WORM_VB.CQA VBS_RUNAUTO.M POSSIBLE_ MLWR-5 TSPY_GAMEOL.AS PE_CORELINK.A HTML_IFRAME.GG Mal.Otorun1 HTML_IFRAME.QT PE_CORELINK.C TROJ_AGENT.ACSO VBS_RUNAUTO.AOK POSSIBLE_OLGM-11 PE_MUMAWOW.AS TSPY_ONLINEG.FGF PE_ERTH.A BKDR_HUPIGON.IOX TROJ_PAGIPEF.AA WORM_DRONZHO.A Mal_HIFRM WORM_DOWNAD.AD BKDR_SENSODE_E Mal_DownadJ WORM_NEERIS.A TROJ_VB.JNJ

WORM_OTURUN.B-CN Mal_Otorun5 POSSIBLE_DLDER BAT_AGENT.ASBZ Mal_QHOST VBS_INVADESYS.AN HTML_IFRAME.QP HTML_HIFRM.A-CN HTML_IFRAME.ARQ TROJ_DLOADER_VLD Possible_DownadJ Mal_Otorun2 BKDR_BIFROSE_COT BKDR_SINGU.O RTL_GENCLEAN.001 PE_HUNK_CAR PE_FUNTIK_A HTML_DOWN.A WORM_VB.MAB JS_REDIR.SME 1) VBS_REDLOF系列

传播方式：

电子邮件信纸

回索引表

病毒描述：

该病毒在系统中发作时会大量复制含有自身代码的folder.htt，使得每当用户打开一个文件夹时，病毒皆得以执行。

通过Microsoft Outlook的信纸文件（HTML）并打开使邮件使用信纸的相应选项，使得发出的所有邮件消息都被感染，由此传播自身的拷贝。 采取措施：

关闭不必要的共享，并对共享目录设置密码。

安装JAVA虚拟机补丁程序。并在文件夹选项中选择以传统视图方式浏览，而不要使用Web视图方式。

2) PE_LOVGATE.AC-O

传播方式：

回索引表 电子邮件、网络共享、系统漏洞

漏洞补丁：

Microsoft Security Bulletin MS03-026 病毒描述：

该病毒在Windows目录、Windows system目录和根目录下复制自身。

该病毒借用MAPI和它自己的SMTP引擎进行Email传播。运行邮件的附件会生成带有WORM_LOVEGATE.Q病毒的.dll文件和带有WORM_LOVEGATE.V病毒的.exe文件。

为了在局域网中进行传播，它会生成以bat、exe、pif和scr后缀名的文件。该病毒扫描本网络中具有漏洞的机器，尝试利用自身携带的口令表将这些文件复制在这些机器的Admin$目录下。

该病毒是利用了RPC漏洞和DCOM漏洞，并能终止一些防病毒软

件的进程。 采取措施：

升级趋势防病毒软件的病毒码至1.954（含）以上,并扫描所有的目

录。手动删除病毒名为PE_LOVGATE.AC-O、WORM_LOVGATE.Q和WORM_LOVGATE.V的文件。

另外，需安装MS03-026的补丁，以防再次感染。

3) SASSER系列

传播方式：

回索引表

利用了Windows LSASS的一个已知漏洞

漏洞补丁：

Microsoft Security Bulletin MS04-011 病毒描述：

该病毒利用了Windows LSASS的一个已知漏洞，这个一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。

该病毒扫描网络上具有漏洞的系统。当找到有漏洞的系统后，病毒发送向其发送一个特别制作的数据包，该包可使LSASS.EXE产生一个缓冲溢出。

该病毒创建脚本文件CMD.FTP，这个脚本文件使受感染的系统打开TCP的5554端口使用FTP从受感染的系统下载并执行病毒自身拷贝。

由于该病毒可使LSASS.EXE产生缓冲溢出，结果是使Windows连续地重启。

采取措施：

升级趋势防病毒软件的病毒码和TSC至最新。 手动清除该病毒的相关建议：

1、安全模式启动

重新启动系统同时按下按F8键，进入系统安全模式 2、注册表的恢复

点击\开始--〉运行\，输入regedit,运行注册表编辑器，依次双

击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

并删除面板右侧的 \

3、删除病毒释放的文件

点击\开始--〉查找--〉文件和文件夹\，查找文件\和\，并将找到的文件删除。

4) NETSNAKE.A系列

病毒描述：

回索引表

此宏病毒会做以下动作：

1. 在word启动文件夹中拷贝一个感染病毒的normal.dot文件。 2. 在EXCLE启动文件夹中拷贝一个感染病毒的NORMA1.XLM文件。 3. 在WINDOWS系统目录下会生成INTERNET.EXE 4. 修改注册表启动组:

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

会出现Internet.exe = \键值。 采取措施：

对感染病毒文件，趋势防病毒软件是进行清除，清除失败为隔离或删除，对于病毒感染文件隔离或删除后，不影响正常使用office，

升级趋势防病毒软件的病毒码至955（含）以上,同时请在OfficeScan和ServerProtect服务器上部署DCT392（即TSC）工具。一旦发现计算机感染上述病毒，建议对计算机的进行全盘扫描。

5) WORM_SDBOT.ABQ

传播方式：

网络共享

回索引表

漏洞补丁：

? IIS5/WEBDAV vulnerability (MS03-007)

本文来源：https://www.bwwdw.com/article/eczg.html