发信人: jackyz()
整理人: emil(1999-05-15 12:53:17), 站内信件
|
近日上网得到一新病毒的信息 转发此 Alert 望大家小心
以下内容转载自tw.bbs.comp.virus -------------------------------------------------------------- 继席卷全球的电脑肠病毒 CIH 之後,另一只针对 32 位元 作业系统的 PE 档案型式新病毒「PE_ Marburg」千面人病毒,近日在全球热门游戏软体 间扩散,一般传统的侦毒方式,并无法清除此病毒,更可怕的是 MARBURG 还会删除某些 防毒软体。感染 PE_ Marburg 病毒後的 3 个月,即会在桌面上出现一堆任意排序 的 "X" 符号。此病毒首次意外地出现在今年 7 月号英国"PC 游戏者″杂志 ( PC Gamer Magazine )附赠的封面光碟,有3个档案遭受感染, 包含\UTILS\XEARTH\XEARTH.EXE、\UTILS\QPAINT\QPAINT.EXE 以及\VIDEO\SMACKPLW.EXE。其中,当消费者执行 SMACKPLW 程式,检视光碟内的电视 简介时,即会自动执行Marburg 。不幸的是,以英国版"PC 游戏者″杂志 ( PC Gamer Magazine)所附光碟为母片压制的其他国家语言版本光碟,几乎都受到感 染。此病毒似乎偏好游戏软体,所以在各国都有听说在一些游戏软体中出现,台湾目前 也传出Marburg的讯息,而且据闻已经扩散到非游戏软体中,所以大家可要小心提防了。 Marburg会藉着复杂的加密程序错乱编码,意味着每当它感染其它的寄主程式时,每一次 所产生的病毒码都不一样,所以传统依照病毒码比照抓毒的防毒软体很难逮到它。该病毒 原始码内含[ Marburg ViRuS BioCoded by GriYo/29A ] 字串,这只 Marburg 千面病毒 的引擎技术非常先进,它利用好几种不同的方法,如用 8 位元、16位元及32位元的关键 值(Key)将病毒本身加密,并在解密的过程式中非常的缓慢。当感染的程式开始执行, Marburg 病毒即会感染现行目录、Windows目录及 Windows System 等叁个目录下的所 有32位元的 Win32应用程式(*.EXE)及萤幕保护程式(*.SRC)。但由於只有在程式被执行 时才会感染其它档案,这表示它不会常驻在记忆体。但值得注意的是,Marburg 会删除 好几个防毒软体的重要档案,包括 ANTI-VIR.DAT,CHKLIST.MS,AVP.CRC,IVB.NTZ 等。 另外,为避免启动这些防毒软体的自行检查程序,Marburg 同时也避免感染许多以"V″ 开头的执行档以及以 PAND,F-PR,SCAN 等字串开头的执行档的知名防毒软体。 --------------------------------------------------------------
游戏一族小心了。
※※※※※※※※※※※※※※※ 重剑无锋 大巧不工 /|____________________ 0***(O)____________________) \| [email protected] ※※※※※※※※※※※※※※※
-- ☆ 来源:.广州网易BBS站 bbs.nease.net.[FROM: 202.96.129.123]
|
|