发信人: jackyz()
整理人: emil(1999-05-15 12:53:17), 站内信件
|
近日上网得到一新病毒的信息
转发此 Alert 望大家小心
以下内容转载自tw.bbs.comp.virus
--------------------------------------------------------------
继席卷全球的电脑肠病毒 CIH 之後,另一只针对 32 位元
作业系统的 PE 档案型式新病毒「PE_ Marburg」千面人病毒,近日在全球热门游戏软体
间扩散,一般传统的侦毒方式,并无法清除此病毒,更可怕的是 MARBURG
还会删除某些
防毒软体。感染 PE_ Marburg 病毒後的 3 个月,即会在桌面上出现一堆任意排序
的 "X" 符号。此病毒首次意外地出现在今年 7 月号英国"PC 游戏者″杂志
( PC Gamer Magazine )附赠的封面光碟,有3个档案遭受感染,
包含\UTILS\XEARTH\XEARTH.EXE、\UTILS\QPAINT\QPAINT.EXE
以及\VIDEO\SMACKPLW.EXE。其中,当消费者执行 SMACKPLW
程式,检视光碟内的电视
简介时,即会自动执行Marburg 。不幸的是,以英国版"PC 游戏者″杂志
( PC Gamer Magazine)所附光碟为母片压制的其他国家语言版本光碟,几乎都受到感
染。此病毒似乎偏好游戏软体,所以在各国都有听说在一些游戏软体中出现,台湾目前
也传出Marburg的讯息,而且据闻已经扩散到非游戏软体中,所以大家可要小心提防了。
Marburg会藉着复杂的加密程序错乱编码,意味着每当它感染其它的寄主程式时,每一次
所产生的病毒码都不一样,所以传统依照病毒码比照抓毒的防毒软体很难逮到它。该病毒
原始码内含[ Marburg ViRuS BioCoded by GriYo/29A ] 字串,这只 Marburg 千面病毒
的引擎技术非常先进,它利用好几种不同的方法,如用 8 位元、16位元及32位元的关键
值(Key)将病毒本身加密,并在解密的过程式中非常的缓慢。当感染的程式开始执行,
Marburg 病毒即会感染现行目录、Windows目录及 Windows System 等叁个目录下的所
有32位元的 Win32应用程式(*.EXE)及萤幕保护程式(*.SRC)。但由於只有在程式被执行
时才会感染其它档案,这表示它不会常驻在记忆体。但值得注意的是,Marburg 会删除
好几个防毒软体的重要档案,包括 ANTI-VIR.DAT,CHKLIST.MS,AVP.CRC,IVB.NTZ
等。
另外,为避免启动这些防毒软体的自行检查程序,Marburg 同时也避免感染许多以"V″
开头的执行档以及以 PAND,F-PR,SCAN 等字串开头的执行档的知名防毒软体。
--------------------------------------------------------------
游戏一族小心了。
※※※※※※※※※※※※※※※
重剑无锋 大巧不工
/|____________________
0***(O)____________________)
\| [email protected]
※※※※※※※※※※※※※※※
--
☆ 来源:.广州网易BBS站 bbs.nease.net.[FROM: 202.96.129.123]
|
|