“震荡波清除者”

路路

国家计算机病毒应急处理中心１６日发布

病毒名称：“震荡波清除者”（worm_cycle.a）

感染系统： win2000/winxp/win2003/win nt 4.0

病毒特征：

１、生成病毒文件

病毒在%system%目录下生成自身的拷svchost.exe，还在%windows%目录下生成文件cyclone.txt。

２、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun下创建“generic host service”=“%%system%svchost.exe”hkey_current_usersoftwaremicrosoftwindowscurrentversionrun下创建“generic host service”=“%system%svchost.exe”

３、通过系统漏洞主动进行传播

病毒在tcp/３３３２端口开启后门服务，接受连接，在udp/６９端口上运行一个tftp服务器下载蠕虫副本。病毒对外连接随机产生主机的tcp/４４５端口，去感染其他的主机。

４、 终止进程

病毒会终止以下进程，msblast.exe、avserve.exe、avserve2.exe和skynetave.exe，这些进程是"冲击波"、"震荡波"病毒及他们的变种创建的。

５、发动dos攻击

当系统时间为５月１８日，病毒对网站www.irna.com 和www.bbcnews.com发动dos攻击。

Tom

还是咬定以下