一种旨在生成恶意图象文件的程序!

本周报告集中在以下几个病毒：Constructor/EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD 以及 Scranor.A.
    Constructor/EMFTrojan.C是一种旨在生成恶意图象文件的程序，它利用EMF文件转换中的远程代码执行漏洞。（详述请见微软MS04-032公告）。
    Constructor/EMFTrojan提供多个选择配置所生成的代码，用户一旦运行该文件时，通常不得不面临以下选项：
    ·打开一个端口，通过这个端口可以发送命令至受危害计算机。
    ·从指定URL中下载并运行文件。
    为了保护计算机免于这种或其他类似的威胁，熊猫软件已经开发Exploit/MS04-032.gen，特别用于检测利用该安全漏洞的EMF图象。
    今天关注的第一个蠕虫是Nestky的新变种AH和AL，它们从小于10,000,000字节并且拥有以下某个扩展名DBX, WAB, MBX, EML, MDB, TBB 或DAT的文件中搜索邮件地址，然后利用自有的SMTP引擎、藉由邮件将自己发送至上述地址。它们在被执行后10分钟进行发送，而且仅在2004年10/20和10/25发送。为了避免同时被执行，Netsky.AH 和 Netsky.AI会产生"0x452A561C"互斥。
     接下来介绍的是Bagz.E,，它以不同的特征由电子邮件方式传播。此外，该蠕虫还会终止应用程序的进程，比如一些防病毒软件的程序，使计算机易于受其他恶意程序的攻击。
     Bagz.E会在它所感染的计算机的windows目录中生成一些文件。这种蠕虫也会改写HOST文件，阻止用户访问一些IT安全公司的防病毒网站。
     Mydoom.AD同样以多变的信息通过电子邮件传播。它使用预先设定的名称和域名来伪装发件人的地址。
     Mydoom.AD在具有以下扩展名（假设它们没有某个文本行）：ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS 和 XML的文件中搜寻邮件地址，并通过自有的SMTP引擎.自我发送至上述地址。
    为了确保自己的某个副本每次能够运行，Mydoom.AD生成一个被称为My-Game的互斥体。和上述蠕虫一样，Mydoom.AD也会编辑HOSTS文件来阻止对一些防病毒公司网站的访问。
    Mydoom 的AD变种试图从另一蠕虫Scranor.A关联的网页上下载文件，将文件保存在根目录下，并更改文件名称然后执行。
    最后，我们来看看Scranor.A，这是一种无须感染其他文件而复制自己进行传播的另一种蠕虫，它旨在侵袭和破坏电脑和网络。