一、W32病毒：W32.Spybot.AMTE 危害级别：★★★★☆

　　根据光华反病毒研究中心专家介绍，这是一个W32病毒，长度 141,312 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它利用系统漏洞，通过破解网络共享弱口令和mIRC传播，当收到、打开感染此病毒时，有以下现象:

　　A 复制自身到

　　Windows目录\symtea.exe

　　B 增加注册表键值

　　"Microsoft"="symtea.exe"

　　到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　使得病毒每次开机后自动执行

　　C 修改文件

　　sfc.dll 和　　sfc_os.dll

　　破解windows系统文件保护

　　D 修改

　　dllcache\tcpip.sys 和　　drivers\tcpip.sys

　　破解windows并发连接最大数量限制

　　E 修改注册表

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE 的键值　　"EnableDCom" = "N"

　　减低安全设置

　　F 修改注册表

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 的键值　　"restrictanonymous" = "1"

　　减低安全设置

　　G 通过端口 2007 或 666 连接到 IRC 服务器 symtec.easypwn.com d

　　打开后门供黑客进行以下操作

　　复制删除文件　　下载文件　　显示状态　　显示 IP 地址　　对本地网络中的所有计算机进行端口扫描　　扫描漏洞　　启动 ftpd　　启动 IE　　结束进程　　停止其他蠕虫　　停止安全服务　　列出进程　　进行网络嗅探

　　H 利用以下漏洞破坏和传播

　　分布式组件接口缓冲区溢出 MS03-026 参见 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

　　信使队列远程缓冲区溢出 MS05-017 参见 http://www.microsoft.com/technet/security/bulletin/ms05-017.mspx

　　ASN.1库多重堆栈溢出漏洞 MS04-007 参见 http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx

　　即插即用缓冲区溢出 MS05-039 参见 http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

　　工作站缓冲区溢出 MS03-049 参见 http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx

　　Server服务远程缓冲区溢出 MS06-040 参见 http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx

　　多重提供FTPD真实路径漏洞 CVE-1999-0368 参见

　　http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0368

　　I 通过破解网络共享弱口令和mIRC传播

　　二 邮件病毒 W32.Koddro@mm 危害级别：★★★★☆

　　根据光华反病毒研究中心专家介绍，这是一个邮件病毒，长度 25,653 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个病毒被黑客用来窃取信用卡和储蓄卡信息，当含有病毒的邮件附件被打开时，有以下现象:

　　A 创建系统互斥量 wkoddr1

　　B 如果存在文件 ojsps.exe 则执行

　　C 收集以下扩展名文件中的邮件地址

　　adb　　asp　　dbx　　eml　　fpt　　inb　　mbx　　php　　pmr　　sht　　tbb　　htm　　txt　　wab

　　D 使用自带的邮件引擎将病毒自身作为附件发送给收集到的地址，邮件特征为

　　主题(以下之一)

　　Re: hello　　how are you?　　hello　　nissan skyline　　postcard　　内容(以下之一)　　helo dear friend　　Hi, Mike, this is Jane　　helo dear friend　　nissan skyline is ol!　　You have got the postcard from your friend

　　附件名(以下之一)

　　cool.scr　　work.exe　　clickme.exe　　coolcar.scr　　behappy.scr

　　E 试图打开以下网址

　　https://meine.deutsche-bank.de/mod/WebObjects/dbp[已删除]　　https://meine.deutsche-bank.de/mod/WebObjects/dbpb[已删除]　　https://my.hypovereinsbank.de/prot/templates/login_[已删除]　　https://my.hypovereinsbank.de/prot/templates/ind[已删除]　　https://www.dresdner-privat.de/inde[已删除]　　https://www.dresdner-privat.de/inde[已删除]　　https://bankingportal.kreissparkasse-schwalm-eder.de/ban[已删除]　　https://bankingportal.kreissparkasse-schwalm-eder.de/ban[已删除]　　https://bankingportal.sparkasse-koelnbonn.de/ban[已删除]　　https://bankingportal.sparkasse-koelnbonn.de/ban[已删除]　　https://banking.sparkasse-dessau.de/cgi/anfa[已删除]　　https://banking.sparkasse-dessau.de/cgi/log[已删除]　　https://ww2.homebanking-berlin.de/cgi/anfa[已删除]　　https://ww2.homebanking-berlin.de/cgi/log[已删除]　　https://portal.izb.de/ihb/sparkasse-passau/Ma[已删除]　　https://portal.izb.de/ihb/sparkasse-passau/Main;se[已删除]　　https://portal1.izb.de/ihb/sparkasse-miltenberg-obernburg/M[已删除]　　https://portal1.izb.de/ihb/sparkasse-miltenberg-obernburg/Main;se[已删除]　　https://banking.postbank.de/app/legitimat[已删除]　　https://www.seb-banking.de/pt/defau[已删除]　　https://ebanking.spardaban[已删除]

　　F 窃取信用卡和储蓄卡信息发送到以下地址

　　http://217.159.217.222/ctrl/tn[已删除]　　http://217.159.217.222/ctrl/l2[已删除]

　　北京日月光华软件公司网站每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到12月25日的病毒库就可以完全查杀这些病毒。