2月13日,瑞星全球反病毒監(jiān)測(cè)網(wǎng)在國(guó)內(nèi)率先截獲一個(gè)“沖擊波殺手”病毒的變種(W32.Welchia.B)病毒。據(jù)瑞星反病毒工程師介紹,該病毒是“沖擊波殺手”的變種,同時(shí)利用四個(gè)漏洞對(duì)WINDOWS 2000或者WINDOWS XP操作系統(tǒng)進(jìn)行攻擊。有趣的是,這個(gè)病毒只會(huì)攻擊日文系統(tǒng),對(duì)中、英文系統(tǒng)不光不進(jìn)行惡意攻擊,還會(huì)幫助這些用戶(hù)下載微軟的補(bǔ)丁程序修補(bǔ)系統(tǒng)漏洞,堪稱(chēng)是一個(gè)“愛(ài)國(guó)”病毒,或者是“仇日”病毒。
病毒會(huì)判斷操作系統(tǒng)語(yǔ)種,如果當(dāng)前系統(tǒng)為日文,則從注冊(cè)表Virtual Roots及IIS Help folders中讀取路徑,并嘗試用病毒體內(nèi)帶的一個(gè)網(wǎng)頁(yè)文件替換此路徑下的文件。該文件顯示了幾個(gè)特殊日期,這些日期都是日本發(fā)動(dòng)侵略戰(zhàn)爭(zhēng)的標(biāo)志性日期,包括九一八事變紀(jì)念日、七七事變、南京大屠殺、珍珠港事變、兩顆原子彈的爆炸日期和日本投降紀(jì)念日。因?yàn)楹芏嘈⌒途W(wǎng)站都是利用WINDOWS 2000操作系統(tǒng)和IIS架設(shè),如果有人訪(fǎng)問(wèn)受病毒攻擊的網(wǎng)站,則會(huì)看到這些文件,受此病毒攻擊的日語(yǔ)網(wǎng)站相關(guān)網(wǎng)頁(yè)就會(huì)顯示如下內(nèi)容:
瑞星反病毒工程師表示,從病毒編寫(xiě)手法和內(nèi)容來(lái)看,該病毒和當(dāng)初的“沖擊波殺手”病毒可能出自同一個(gè)人之手,而且極其可能是中國(guó)人。
如果操作系統(tǒng)是中文、韓文或者是英文,此病毒會(huì)試圖清除SCO炸彈和SCO炸彈變種病毒,消除病毒留下的后門(mén),還會(huì)下載微軟補(bǔ)丁來(lái)彌補(bǔ)系統(tǒng)漏洞。該病毒利用DCOM RPC、WebDav vulnerability、Workstation Service vulnerability和Locator service vulnerability四個(gè)已知漏洞傳播。
瑞星公司于截獲該病毒的當(dāng)天進(jìn)行升級(jí),瑞星殺毒軟件16.13.20版本可以徹底清除該病毒,請(qǐng)用戶(hù)及時(shí)升級(jí)。用戶(hù)還可以隨時(shí)撥打瑞星反病毒急救電話(huà):010-82678800來(lái)尋求反病毒專(zhuān)家的幫助!
|
