|
|
| |
|
一种名为“坏透了”邮件病毒又大面积流传到国内
|
www.jiangmin.com.cn 2002-11-30 16:24:07
信息出自:江民科技
|
| |
国家计算机病毒应急处理中心成员单位,北京江民新科技术有限公司病毒快速反应小组率先捕获了一种新的邮件蠕虫病毒,该病毒命名为I-WORM/Badtrans.b,中文名为“坏透了”邮件蠕虫病毒。江民公司提醒广大用户,应提高警惕,加强防犯,立即升级KV3000系列杀毒软件,查杀该蠕虫病毒。
该病毒特性如下:
当我们浏览含有该病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染,该网络蠕虫利用的是OUTLOOK的漏洞,传染能力很强,短期内就能形成大面积传染。
这些网络蠕虫的就是针对微软信件浏览器的弱点而编写出的一种传播能力很强的病毒,其传播能力同等于“欢乐时光”、“中国一号/尼拇达”和“Klez”病毒。
病毒在WINDOWS\SYSTEM目录内生成病毒文件KDLL.DLL和KERNEL32.EXE,其字节数约为:5632和29020字节。
该病毒基本特性如下:
该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:EMAIL的主题是变化的、不确定的;
信件的内容是空的,没有任何内容;
附件的文件是变化的,并且是使用了IE的HTML格式的图标.
该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了,病毒就躲藏到机内了。
含有该病毒的邮件没有正文,附件文件名是由以下三部分字母组成的:
第一部分:从以下字母中选择一个,
HUMOR
DOCS
S3MSONG
ME_NUDE
SORRY_ABOUT_YESTERDAY
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER NEWS_DOC
FUN
NEW_NAPSTER_SITE
README
IMAGES
PICS
STUFF
第二部分:从以下字母中选择一个,
.DOC.
.MP3.
.ZIP.
第三部分:从以下字母中选择一个,
pif
scr
例如,病毒的附件名可能为:
CARD.DOC.scr
HUMOR.MP3.pif
由于病毒编写的缺点,病毒没有使用过“.ZIP.”。
用户收到这样特征的邮件后应在有病毒防火墙的保护下或有补丁的保护下将其删除。
该蠕虫病毒运行时,会将自己释放到windows的system目录命名为KERNEL32.EXE,并将它加到注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kemel32=Kemel32.exe
该蠕虫还会生成一个dll文件:KDLL.DLL。
病毒的清除:
1 如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本, 该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。
方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。
2 如果用户硬盘装的系统是WINDOWS 98 以下,也可使用干净DOS软盘启动机器;
3 执行KVD3000或KV3000.EXE, 查杀所有硬盘,查到病毒体时会先问你要删除吗?
请按“Y”键删除病毒体。
4 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。
5 开启KVW3000实时监测病毒防火墙,KV3000系列的“智能广谱”技术可以查出所有.EML格式发来的这类病毒,这是因为KV3000系列软件中独有一种“智能广谱”查毒功能,可高效的查出伪装在.EML这类邮件中的EML/EmailExec可疑代码。
6、将邮箱中的带毒邮件一一删除,否则又会重复感染。
该病毒传播能力极强,必须加强防范。
广大电脑用户可在江民公司的网站上下载最新版本的KV3000系列可防杀该病毒。
其网址:http://www.jiangmin.com
|
| |
|
|
|
|