2月13日,瑞星全球反病毒監(jiān)測網(wǎng)在國內(nèi)率先截獲一個“沖擊波殺手”病毒的變種(W32.Welchia.B)病毒。據(jù)瑞星反病毒工程師介紹,該病毒是“沖擊波殺手”的變種,同時利用四個漏洞對WINDOWS 2000或者WINDOWS XP操作系統(tǒng)進(jìn)行攻擊。有趣的是,這個病毒只會攻擊日文系統(tǒng),對中、英文系統(tǒng)不光不進(jìn)行惡意攻擊,還會幫助這些用戶下載微軟的補(bǔ)丁程序修補(bǔ)系統(tǒng)漏洞,堪稱是一個“愛國”病毒,或者是“仇日”病毒。
病毒會判斷操作系統(tǒng)語種,如果當(dāng)前系統(tǒng)為日文,則從注冊表Virtual Roots及IIS Help folders中讀取路徑,并嘗試用病毒體內(nèi)帶的一個網(wǎng)頁文件替換此路徑下的文件。該文件顯示了幾個特殊日期,這些日期都是日本發(fā)動侵略戰(zhàn)爭的標(biāo)志性日期,包括九一八事變紀(jì)念日、七七事變、南京大屠殺、珍珠港事變、兩顆原子彈的爆炸日期和日本投降紀(jì)念日。因?yàn)楹芏嘈⌒途W(wǎng)站都是利用WINDOWS 2000操作系統(tǒng)和IIS架設(shè),如果有人訪問受病毒攻擊的網(wǎng)站,則會看到這些文件,受此病毒攻擊的日語網(wǎng)站相關(guān)網(wǎng)頁就會顯示如下內(nèi)容:
瑞星反病毒工程師表示,從病毒編寫手法和內(nèi)容來看,該病毒和當(dāng)初的“沖擊波殺手”病毒可能出自同一個人之手,而且極其可能是中國人。
如果操作系統(tǒng)是中文、韓文或者是英文,此病毒會試圖清除SCO炸彈和SCO炸彈變種病毒,消除病毒留下的后門,還會下載微軟補(bǔ)丁來彌補(bǔ)系統(tǒng)漏洞。該病毒利用DCOM RPC、WebDav vulnerability、Workstation Service vulnerability和Locator service vulnerability四個已知漏洞傳播。
瑞星公司于截獲該病毒的當(dāng)天進(jìn)行升級,瑞星殺毒軟件16.13.20版本可以徹底清除該病毒,請用戶及時升級。用戶還可以隨時撥打瑞星反病毒急救電話:010-82678800來尋求反病毒專家的幫助!
|