网上惊现“爱国”病毒 专门攻击日文系统

Simon_Sen

警报：网上惊现“爱国”病毒 专门攻击日文系统[图]
--------------------------------------------------------------------------------
www.rising.com.cn  2004-2-13 17:32:00  信息源:瑞星公司  

    2月13日，瑞星全球反病毒监测网在国内率先截获一个“冲击波杀手”病毒的变种(W32.Welchia.B)病毒。据瑞星反病毒工程师介绍，该病毒是“冲击波杀手”的变种，同时利用四个漏洞对WINDOWS 2000或者WINDOWS XP操作系统进行攻击。有趣的是，这个病毒只会攻击日文系统，对中、英文系统不光不进行恶意攻击，还会帮助这些用户下载微软的补丁程序修补系统漏洞，堪称是一个“爱国”病毒，或者是“仇日”病毒。

    病毒会判断操作系统语种，如果当前系统为日文，则从注册表Virtual Roots及IIS Help folders中读取路径，并尝试用病毒体内带的一个网页文件替换此路径下的文件。该文件显示了几个特殊日期，这些日期都是日本发动侵略战争的标志性日期，包括九一八事变纪念日、七七事变、南京大屠杀、珍珠港事变、两颗原子弹的爆炸日期和日本投降纪念日。因为很多小型网站都是利用WINDOWS 2000操作系统和IIS架设，如果有人访问受病毒攻击的网站，则会看到这些文件，受此病毒攻击的日语网站相关网页就会显示如下内容：



瑞星反病毒工程师表示，从病毒编写手法和内容来看，该病毒和当初的“冲击波杀手”病毒可能出自同一个人之手，而且极其可能是中国人。

    如果操作系统是中文、韩文或者是英文，此病毒会试图清除SCO炸弹和SCO炸弹变种病毒，消除病毒留下的后门，还会下载微软补丁来弥补系统漏洞。该病毒利用DCOM RPC、WebDav vulnerability、Workstation Service vulnerability和Locator service vulnerability四个已知漏洞传播。

    瑞星公司于截获该病毒的当天进行升级，瑞星杀毒软件16.13.20版本可以彻底清除该病毒，请用户及时升级。用户还可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

Simon_Sen

提供病毒样本, 看能不能查杀!!![upload=zip]viewfile.asp?ID=10[/upload]

水鬼

哈哈，不错嘛。
厉害啊！！

水鬼

可以查到，但是无法杀掉。

S-Vampire

我的rising可以杀~~

equn

支持！喜欢这个病毒，有欲望去执行他。

Lightalt

………………………………………………
使用现代的科技抱以前落后而造成的仇
………………………………………………

mooncat

我喜欢，但是解压不出来，金山没给它解压的机会。

[此贴子已经被作者于2004-2-15 15:12:23编辑过]

和平

如果不杀掉就好了...

lcl121

Win Me会发作吗？

小强

看来中了这个病毒也没什么要紧的。。

julian

好东西！！！俺喜欢！

mooncat

以下是引用lcl121在2004-2-16 0:57:35的发言：
Win Me会发作吗？

因该不会，它主要是针对网站的操作系统

烦人

今天有同学打电话给我说norton有个病毒杀不掉,只能隔离,我就叫她把病毒名告诉我.去查了一下,真是太巧了,中的正是W32.Welchia.b.worm.
病毒的详细介绍和专杀工具在这里:
http://www.symantec.com/region/cn/avcenter/vinfo/venc/data/cn-w32.welchia.b.worm.html