|
|
| |
|
又一种网络蠕虫程序I-WORM/BADTRANS在国内流行
|
www.jiangmin.com.cn 2002-11-30 16:25:45
信息出自:江民科技
|
| |
该网络蠕虫程序带有特洛伊木马性质,又名为Trojan/KeyThief(偷密码),它除了给所有的未阅读的信件自动回信外,还会释放出后门程序。该病毒的长度是:13312字节。
该病毒的表现形式:(1)当该网络蠕虫程序被运行后,它会在WINDOWS的目录下,释放一个有后门的特洛伊木马程序,程序的名称是:Hkk32.exe,病毒直接运行该程序。接着将自身改名拷贝成文件:inetd.exe,修改WINDOWS的配置文件:Win.ini,在其中的run=后面加上inetd.exe,使得每次系统启动时,该程序都能被执行,因此,后门大开,上网的安全性大为降低,容易被攻击。
当系统下次启动时,病毒程序运行5分钟后,它利用MAPI应用程序,获取所有的没有读的信件,并且给所有的这些信件回信。在信件的附件中就是病毒本体,当然附件的名称是变化的:
Pics.ZIP.scr/images.pif/README.TXT.pif/New_Napster_Site.DOC.scr/news_doc.scr/hamster.ZIP.scr/ YOU_are_FAT!.TXT.pif/searchURL.scr/SETUP.pif/Card.pif/Me_nude.AVI.pif/ Sorry_about_yesterday.DOC.pif/s3msong.MP3.pif/docs.scr/Humor.TXT.pif/fun.pif。
因此该病毒的传播很广。
清除该病毒的方法是:
(1)升级您的KV3000到最新版本,升级的网络地址:http://www.jiangmin.com.cn 或者http://www.jiangmin.com.
(2)对于不同的操作系统,该网络蠕虫的作用是不同的,在WIN98系统中,删除所有的被报告有
I-WORM/BADTRANS的网络蠕虫程序。
(3)编辑WINDOWS的配置文件win.ini(该文件在WINDOWS的目录下),在该文件的[windows]部分的run行,去掉如下的行:run=c:\windows\inetd.exe ,只保留成为:run= 即可。
在WINDOWS ME/NT/2000等系统下的清除步骤基本相同,只是在NT/2000下需要修改该蠕虫程序增加的注册表项目:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除run的数值windows\inetd.exe;同时去掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 的Kernel32 的值KERN32.EXE。
|
| |
|
|
|
|