|
國家計算機病毒應急處理中心成員單位,國內最大的反病毒廠商北京江民新科技術有限公司日前發出病毒疫情警告:一種名爲“壞透了”(I-WORM/Badtrans.b)的郵件蠕蟲病毒開始在國內傳播。該病毒利用微軟信件瀏覽器的弱點,自動搜索通訊簿中的郵件地址,以不同的郵件主題進行發送,用戶在未打開郵件或進行預覽時就會造成病毒發作,最終造成用戶電腦系統變慢,直至癱瘓。其傳播能力與早先流行併發生大規模破壞作用的“歡樂時光”、“中國一號/尼拇達”和“Klez”病毒大致相同。
“壞透了”病毒利用病毒體內VBScript代碼在本地的可執行性(通過Windows Script Host進行),對目標計算機進行感染和破壞。即,一旦我們將鼠標箭頭移到帶有病毒體的郵件名上時,就能受到該網絡蠕蟲的感染。
該病毒通過電子郵件傳播,如果收到類似信件請注意:1、EMAIL的主題變化、不確定;2、信件的內容爲空,沒有任何內容;3、附件的文件是變化的,並且使用了HTML格式的圖標。
該病毒的附件實際上是一個可執行的文件,但是該蠕蟲設置成audio/x-wav的文件類型,因此當OUTLOOK在收到該信件後,如果您沒有事先安裝微軟的補丁程序的話,OUTLOOK會認爲該附件是一個類似的聲音文件而直接執行了,病毒隨即躲藏到系統內。
含有該病毒的郵件沒有正文,附件文件名是由以下三部分字母組成的:
第一部分:從以下字母中選擇一個,
HUMOR
DOCS
S3MSONG
ME_NUDE
SORRY_ABOUT_YESTERDAY
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER NEWS_DOC
FUN
NEW_NAPSTER_SITE
README
IMAGES
PICS STUFF
第二部分:從以下字母中選擇一個,
.DOC.
.MP3.
第三部分:從以下字母中選擇一個,
pif
scr
例如,病毒的附件名可能爲:
CARD.DOC.scr
HUMOR.MP3.pif
用戶收到這樣特徵的郵件後應在有病毒防火牆的保護下或有補丁的保護下將其刪除。
該蠕蟲病毒運行時,會將自己釋放到windows的system目錄命名爲KERNEL32.EXE,並將它加到註冊表: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceKemel32=Kemel32.exe
病毒在WINDOWSSYSTEM目錄內生成病毒文件KDLL.DLL和KERNEL32.EXE,其字節數分別約爲:5632和29020字節。
病毒的清除:
1 如果用戶的硬盤分區是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,請用戶安裝KVW3000 5.0以上版本, 該版本可在任何WINDOWS系統下殺除內存和被WINDOWS已經調用的染毒文件,可在系統染毒的情況下殺除病毒,目前只有KVW3000真正具備內存殺毒和毒中殺毒這一技術。
方法是:雙擊桌面上KVW3000的快捷圖標,調出菜單即可。
2 如果用戶硬盤裝的系統是WINDOWS 98 以下,也可使用乾淨DOS軟盤啓動機器;
3 執行KVD3000或KV3000.EXE, 查殺所有硬盤,查到病毒體時會先問你要刪除嗎?請按“Y”鍵刪除病毒體。
4 爲了預防該病毒在瀏覽該帶毒信箋可以自動執行的特點,必須下載微軟的補丁程序。地址在: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
這樣可以預防此類病毒的破壞。
5 開啓KVW3000實時監測病毒防火牆,KV3000系列的“智能廣譜”技術可以查出所有.EML格式發來的這類病毒,這是因爲KV3000系列軟件中獨有一種“智能廣譜”查毒功能,可高效的查出僞裝在.EML這類郵件中的EML/EmailExec可疑代碼。
6、將郵箱中的帶毒郵件一一刪除,否則又會重複感染。
|
