病毒应急处理中心病毒预报!
添加时间: 2005-5-21 3:35:55 作者: 网络资源 阅读次数:59 来源: http://d9soft.com
病毒名称:“老板公司”变种(Worm_Sobig.F)
病毒类型:蠕虫
病毒长度:72,259字节,约71k
感染系统:Windows 95\98\NT\2000\ME\XP
病毒介绍:
病毒使用自带的SMTP引擎发送电子邮件,当用户打开病毒邮件带有的.pif或.scr类型的附件文件后,病毒就会感染用户的计算机,在以下扩展名的文件中搜索电子邮件地址
dbx 文件(微软OUTLOOK邮件系统保存文件类型)
eml 文件(通用邮件文件扩展名称)
hlp 文件(帮助文件)
htm 文件、html文件(网页文件)
mht 文件(网页文件)
wab 文件(微软地址薄文件)
txt 文件(纯文本文件)
并将自身的拷贝,即病毒邮件发送给这些邮件地址。病毒还可以通过局域网进行传播。邮件形式如下:
发件人:
病毒从被感染机器中搜索,获取邮件地址作为发件人地址,从而使得发送的邮件看上去是从其他人发送的,掩盖真实的发送地址。如果没有从被感染计算机中搜索到可用的用件地址,病毒将使用admin@internet.com作为发件人。
主题:(为下列之一)
Re: Thank you!
Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
内容:(为以下二者之一)
See the attached file for details.
Please see the attached file for details.
附件:(为下列之一)
application.pif
details.pif
document_9446.pif
document_all.pif
movie0045.pif
thank_you.pif
wicked_scr.scr
your_document.pif
your_details.pif
病毒运行后,在Windows文件夹下生成自身拷贝,并命名为winppr32.exe,同时创建注册表键值,以便在系统启动时,病毒能随系统启动而运行。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = %Windows%\winppr32.exe /sinc
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"TrayX" = %Windows%\winppr32.exe /sinc
(%Windows%为Windows文件夹,通常默认安装的路径为C:\Windows 或 C:\WINNT)
病毒还在Windows目录下生成文件winstt32.dat
另外,与“老板公司”的其他两个变种Worm_Sobig.C和Worm_Sobig.E相类似,病毒在传播时间上给自身做了限制,当系统日期为2003年9月10之后,蠕虫的传播机制将自动失效。
清除该病毒的相关操作:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE
在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC
选择“任务管理器——〉进程”,选中正在运行的病毒进程,并终止其运行。
2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"TrayX" = %Windows%\winppr32.exe /sinc。
再依次双击左侧的
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run ,找到并删除面板右侧的"TrayX" = %Windows%\winppr32.exe /sinc
3、删除病毒文件
点击“开始——〉查找——〉文件和文件夹”,查找“winppr32.exe”、“winstt32.dat”,并将找到的文件删除。
4、运行杀毒软件对系统进行全面的病毒查杀
目前,国家计算机病毒应急处理中心提醒广大用户升级杀毒软件,启动实时监控功能,留意病毒邮件的特征,收到此类邮件千万不要打开附件,应立即删除。
本周发作:
病毒名称:“埃尔娃”(VBS_ELVA)
病毒类型:脚本类语言病毒
发作日期:8月24日
危害程度:病毒修改Office 2000的安全设置并将IE的安全级别设为“低”,并向地址列表中的用户发送染毒邮件。在该日显示一个对话框,包含以下信息“==Happy birthday== I love ELVA 4 ever”
病毒名称:LOVE-CHILD.2710
病毒类型:文件型病毒
发作日期:8月24日
危害程度:被病毒感染的文件长度增至2710字节,在24日,病毒破坏部分扇区和FAT(文件分配表)。
病毒名称:“魔爪”(WM_ Talon.B)
病毒类型:宏病毒
发作日期:8月27日
危害程度: 给保存的Word文档设置密码为“talon”,并显示如下信息“Warning Your document Has Just been Been Saved, I Hope You Know The Password!!!, Brought To You By Talon 1997”(中文意思为:当心你刚刚保存的文档,希望你知道它的密码!)
专家提醒:
1、 8月11日出现的“冲击波”病毒是利用微软的RPC漏洞,利用该漏洞的病毒也会相继出现。所以,再次提醒用户要以下链接下载该漏洞的补丁程序,堵住病毒入口。
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
2、 及时升级杀毒软件,并启动“实时监控”功能,并做好病毒检测和清除的相关设置。
3、 很多病毒发作后,会破坏一些系统文件,导致在Window环境下无法杀毒,所以制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,只能使用软盘启动,而如果你有应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。
上下文章:
上一篇文章: 新蠕虫携带木马强突系统! 下一篇文章: 三大蠕虫肆虐 互联网面临空前病毒风暴!
相关文章:
相关软件: