国家计算机病毒应急处理中心成员单位,国内最大的反病毒厂商北京江民新科技术有限公司日前发出病毒疫情警告:一种名为“坏透了”(I-WORM/Badtrans.b)的邮件蠕虫病毒开始在国内传播。该病毒利用微软信件浏览器的弱点,自动搜索通讯簿中的邮件地址,以不同的邮件主题进行发送,用户在未打开邮件或进行预览时就会造成病毒发作,最终造成用户电脑系统变慢,直至瘫痪。其传播能力与早先流行并发生大规模破坏作用的“欢乐时光”、“中国一号/尼拇达”和“Klez”病毒大致相同。
“坏透了”病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对目标计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染。
该病毒通过电子邮件传播,如果收到类似信件请注意:1、EMAIL的主题变化、不确定;2、信件的内容为空,没有任何内容;3、附件的文件是变化的,并且使用了HTML格式的图标。
该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK在收到该信件后,如果您没有事先安装微软的补丁程序的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了,病毒随即躲藏到系统内。
含有该病毒的邮件没有正文,附件文件名是由以下三部分字母组成的:
第一部分:从以下字母中选择一个,
HUMOR
DOCS
S3MSONG
ME_NUDE
SORRY_ABOUT_YESTERDAY
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER NEWS_DOC
FUN
NEW_NAPSTER_SITE
README
IMAGES
PICS STUFF
第二部分:从以下字母中选择一个,
.DOC.
.MP3.
第三部分:从以下字母中选择一个,
pif
scr
例如,病毒的附件名可能为:
CARD.DOC.scr
HUMOR.MP3.pif
用户收到这样特征的邮件后应在有病毒防火墙的保护下或有补丁的保护下将其删除。
该蠕虫病毒运行时,会将自己释放到windows的system目录命名为KERNEL32.EXE,并将它加到注册表: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceKemel32=Kemel32.exe
病毒在WINDOWSSYSTEM目录内生成病毒文件KDLL.DLL和KERNEL32.EXE,其字节数分别约为:5632和29020字节。
病毒的清除:
1 如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本, 该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。
方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。
2 如果用户硬盘装的系统是WINDOWS 98 以下,也可使用干净DOS软盘启动机器;
3 执行KVD3000或KV3000.EXE, 查杀所有硬盘,查到病毒体时会先问你要删除吗?请按“Y”键删除病毒体。
4 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。地址在: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
这样可以预防此类病毒的破坏。
5 开启KVW3000实时监测病毒防火墙,KV3000系列的“智能广谱”技术可以查出所有.EML格式发来的这类病毒,这是因为KV3000系列软件中独有一种“智能广谱”查毒功能,可高效的查出伪装在.EML这类邮件中的EML/EmailExec可疑代码。
6、将邮箱中的带毒邮件一一删除,否则又会重复感染。
|