中国DOS联盟

最新強大病毒通知!(中了!電腦就報銷了)

收到一封名為「來抽支籤!」 (exe檔案)請勿開啟,並請立即刪除,它會將你工作列右下角
的圖示都變成梅花,且讓電腦無法關機,還會自行寄給你連絡簿裡的朋友,搶於第一時間
通知朋友們,希望能來得及!

請將這個消息轉寄給在你通訊錄裡的所有人!

最新強大病毒通知

真正威力強大的病毒來了，以往嚴重中毒用戶，只要把硬碟format掉重灌就好了，馬吉
斯變種病毒中毒者只能再買一台電腦！賽門鐵克防毒軟體公司發佈，4月造成許多電腦
中毒的馬吉斯病毒日前已有變種病毒(W32.Magistr.39921@mm)出現。由於這隻變種病毒同
樣也會形成不固定主旨和附件的特徵，因此造成感染人數增多。

同時馬吉斯病毒會在連線網路之前，修改用戶的瀏覽器安全設定，如此駭客便有大量
機會入侵用戶電腦。賽門鐵克將馬吉斯變種病毒(W32.Magistr.39921@mm)的危險程度由2級
升為3級。這隻變種病毒會針對所有ｗｉｎｄｏｗｓ程式進行感染。中毒者將自行複製
並進行傳播給感染者通訊錄?的所有收件人，因此造成郵件伺服器緩慢，感染後造成系
統不穩定，硬碟嚴重負擔，且刪除CMOS和FlashBIOS，造成電腦較難修復，可能需新買
一部電腦，同時將自行寄出MicrosoftWord機密檔案，並會自動修改瀏覽器安全設定(從中
度安全性降為低度安全性)，增加瀏覽網站時被駭客入侵的機會增多。

由於主旨與附件不固定，因此很難偵測，其附件名稱會任意選取exe、bat、pif、com等不
同檔案，用戶只好多留意不要任意開啟來歷不明的檔案！病毒出爐,請將這個消息轉寄
給在你通訊錄裡的所有人!現在正經由電子信件傳遞當中，大名：『A.I.D.SVIRUS』!!它會
破壞你的記憶體、音效卡、喇叭和硬碟，而且會影響你的滑鼠或鍵盤上的游標鍵，讓
你沒法子打字，也就不能在螢幕上記錄了。吃了5MB的硬碟和毀壞了所有的程式後，
會自行Format終結。它是會隨著一封名叫『OPEN：VERYCOOL！』的信件而來的，所以，
收到的話請即刻刪除它，它真的會讓你的電腦壞掉。

DD 你是不是在开国际玩笑呀，病毒不可能直接破坏硬件，除非这些芯片有先天的漏洞！我在瑞星网站怎么没有发现此消息呀，可能此病毒还没有传到国内吧？

我在网上查到的消息如下：
I-Worm.Magistr

　　病毒名称：I-Worm.Magistr
　　别名：　　Magistr, PE_MAGISTR.A, W32.Magistr.24876@mm, W32.Magistr@mm, W32/Magistr@mm, W32/Disemboweler, W32/Magistr-a, MAGISTR.A, W32.Magistr, TROJ_ARF_JUDGE.A, JUDGE.A, ARF_JUDGE

　　危险等级：高

　　发作时间：在感染病毒一个月后

　　长度：　　24kb~30kb左右

　　感染症状：当鼠标移到桌面上的图标的时候，图标会移开一边，就好像图标在和鼠标玩捉迷藏

　　发作症状：文件内容被改写，并擦写BIOS和清除硬盘上的数据

　　病毒类型：蠕虫病毒　　

　　操作平台：Windows 32位操作系统

　　感染对象：PE格式的.EXE和.SCR文件

　　病毒介绍：

　　这是一个非常危险的内存驻留型蠕虫病毒（既有蠕虫体也有病毒体），通过电子邮件进行传播，而且还能在局域网中传播，感染PE格式的.EXE和.SCR文件。该病毒有个和CIH、Kriz等病毒非常类似的破坏作用：删除硬盘上的数据，擦写BIOS！该病毒现已在全世界范围内被发现！

　　该病毒体还含有一段“版权”信息：

　　ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.　

　　by: The Judges Disemboweler.　written in Malmo (Sweden)

　　该病毒用的是汇编语言进行编写，原体长度为24kb~30kb左右，体积虽小但却具有非常强大的功能：

　　1、感染32位PE格式的执行文件，具有和CIH、Kriz等病毒一样的破坏作用，如删除硬盘上的数据，擦写BIOS！

　　2、通过电子邮件和局域网进行传播；而且通过电子邮件传播不再局限于Outlook，还利用了包括Netscape Messenger和其他电子邮件软件、新闻组在内的软件！

　　3、多变形引擎（两种），防反编译，具有欺骗性，自身加密，从而使得发现和清除该病毒变得非常困难！

　　现该病毒已经有很多变种。

　　当执行了染毒文件（如执行了邮件附件中的染毒文件），病毒就会将自身驻留在内存中，并在后台运行，静止3至5分钟，然驻留内存后并具有写EXPLORER.EXE的权限（做一个EXPLORER.EXE映象，改写并在内存中激活该文件），在EXPLORER.EXE接着，病毒在Windows目录中任意选取一个.exe文件，一般是第一个文件，使之感染，并将文件名的最后一个字母改名，如：将HWINFO.EXE改成HWINFN.EXE，将SNDVOL32.EXE改成SNDVOL31.EXE，随后修改注册表中HKLM\Software\Microsoft\Windows\CurrentVersion\Run（键值和键值名视被修改的文件名而定）和Win.ini中"run="一项（启动程序名视被修改的文件名而定），所以Windows每次启动的时候都会激活病毒。激活病毒后，病毒就会在WINNT, WINDOWS, WIN95和WIN98目录中查找PE格式的.EXE和.SCR文件，并感染他们。

　　接着，病毒就会搜索局域网上的共享驱动器，如果可写便查找WINNT, WINDOWS, WIN95和WIN98目录，并感染这些目录中的文件，同时会像在本地机上修改注册表和Win.ini中的"run="，

　　另外，病毒还会建立一个根据计算机名命名的.DAT文件，该文件的属性是隐含属性，命名的法则如下：

　　a　　　　　　 ->　　　　　 y

　　b　　　　　　 ->　　　　　 x

　　c　　　　　　 ->　　　　　 w

　　d　　　　　　 ->　　　　　 v

　　e　　　　　　 ->　　　　　 u

　　f　　　　　　 ->　　　　　 t

　　g　　　　　　 ->　　　　　 s

　　h　　　　　　 ->　　　　　 r

　　i　　　　　　 ->　　　　　 q

　　j　　　　　　 ->　　　　　 p

　　k　　　　　　 ->　　　　　 o

　　l　　　　　　 ->　　　　　 n

　　m　　　　　　 ->　　　　　 m

　　n　　　　　　 ->　　　　　 l

　　o　　　　　　 ->　　　　　 k

　　p　　　　　　 ->　　　　　 j

　　q　　　　　　 ->　　　　　 i

　　r　　　　　　 ->　　　　　 h

　　s　　　　　　 ->　　　　　 g

　　t　　　　　　 ->　　　　　 f

　　u　　　　　　 ->　　　　　 e

　　v　　　　　　 ->　　　　　 d

　　w　　　　　　 ->　　　　　 c

　　x　　　　　　 ->　　　　　 b

　　y　　　　　　 ->　　　　　 a

　　z　　　　　　 ->　　　　　 z

　　例如计算机名是"Emil"，那么保存的.DAT文件名就是UMQN.DAT，该文件可能存在于\Windows、\Program Files、C盘根目录和安装系统盘根目录中。

　　该病毒感染文件使用了非常复杂的感染机制，病毒加密了自身代码，并使用了多变形引擎，改写被感染文件的尾部，从而使得发现和清除病毒变得非常困难。 　　该病毒可以通过电子邮件传播，但不像以往的病毒那样单纯的通过Outlook发送电子邮件，还利用了Netscape Messenger和其他电子邮件软件、新闻组等读取其中地址簿中的地址发送电子邮件进行传播。值得注意的是电子邮件的标题和正文都不是固定的，而是病毒在本地机上随机查找.DOC和.TXT文件中的一段文字作为邮件的标题和正文（也可能没有正文），而附件也是不固定的，随机在本地机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件（这可能会造成机密文件的泄漏），同时病毒会记录十个已经发送过有毒电子邮件的地址，不再向这些地址发送有毒的电子邮件。

　　感染了该病毒会出现一个有趣的现象，当鼠标移到桌面上的图标的时候，图标会移开一边，就好像图标在和鼠标玩捉迷藏。当感染该病毒一个月后，病毒会改写本地机和局域网中电脑上的文件，文件内容全部改写成"YOUARESHIT"，这将导致文件不能恢复！如果在Win9x环境下，病毒就是擦写BIOS和清除硬盘上的数据，并显示以下信息：

　　Another haughty bloodsucker.......

　　YOU THINK YOU ARE　GOD ,

　　BUT YOU ARE ONLY　A CHUNK OF SHIT

　　备注：当你收到一个标题是一段莫名其妙的句子，并带有一个110k~120k左右的附件的电子邮件，千万不要打开，立刻删除它！现在国内的反病毒软件如安全之星等已经可以防杀该病毒了，敬请各位及时升级！

　　下载专门清除病毒程序地址：　　ftp://ftp.avx.com/tools/magistr/antimagistr.exe

*资料来源：聊毒斋http://cnav.cn99.com

在瑞星的网站上：http://www.rising.com.cn/antivirus/net_virus/net206.htm
马吉斯新变种：W32.Magistr.39921@mm
（瑞星编译）
病毒名称：W32.Magistr.39921@mm
别名：I-Worm.Magistr.b, W32.Magistr.B@mm, W32/Magistr.b@MM
大小： 39,921 字节

蠕虫W32.Magistr.39921@mm是W32.Magistr.24876@mm的最新变种。
该蠕虫与W32.Magistr.24876@mm的不同之处在于：


掌握Eudora地址簿；

搜索文件的同时删除*.NTZ；

在连接到INTERNET之前终止ZoneAlarm；

在system.ini文件的BOOT部分添加入口Shell=explore.exe，调用W32.Magistr.Trojan；

搜索所有windows 目录(WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K, WINXP.)；

发送的附件带有随机的扩展名(exe, bat, pif, com)；

偶尔发送的附件扩展名为.gifs；

W32.Magistr.Trojan具有破坏模块，覆盖所有驱动器中的ntldr 和 win.com文件，使得这些文件能够用垃圾代码覆盖第一个IDE硬盘的第一个扇区。
同时庆祝变成论坛游民

在大洋论坛上：
(2001年09月08日 23:18 大洋论坛)
　　大洋网讯　4月就出现的马吉斯病虫，近半年来不但威力不减，还有变种产生，这只病虫真的很可怕，感染之后可能造成CMOS和Flash BIOS受损，重灌也救不了，连病毒专家都只有摇摇头，要你买台新计算机。

　　名为W32.Magistr.39921@mm的马吉斯变种病虫，同样有不固定主旨和附件的特征，因此容易骗人上当，这只病虫还会在连结网络之前，修改你的浏览器安全设定，制造机会让黑客入侵你的计算机，目前赛门铁克已将马吉斯变种病虫的危险程度由2级升为3级。

　　马吉斯变种病虫会针对所有Windows程序进行感染，散播途径则是透过 Eudora、Outlook Express通讯簿，及Netscape寄件夹里的电子邮件地址。不幸感染时，会有系统不稳定的情况，造成硬盘严重负担，一旦CMOS和Flash BIOS被删除，可能导致计算机难以修复，被迫报废。

　　就算计算机仍能使用，还可能因马吉斯变种病虫任意寄出Microsoft Word档案，造成机密外泄。

　　由于它的主旨不固定，极难判断是否会为病毒信，其附件名称会任意选取exe、bat、pif、com等不同档案，网友们除了多加注意，就只有自求多福。