联众世界
国家计算机病毒应急中心一周病毒预报(8.23-8.29)
(2004-8-23)
  
  近期出现了利用Mydoom病毒的变种,国家计算机病毒应急处理中心提醒广大用户升级杀毒软件,启动实时监控功能。由于该病毒的标题、内容和附件名称是固定的,所以遇到这类邮件用户应立即删除,不要打开。

  另外,近期出现了利用感染的Office文档进行传播的新型病毒,病毒的运行同样需用户的点击,所以提醒用户对于来历不明的邮件和 Office 文档,不要随便打开,应先对其进行病毒检测在进行处理。

  病毒名称:Worm_Mydoom.S
  其它命名:I-Worm.Mydoom.q (Kaspersky)
       W32.Mydoom.Q@mm (Symantec)
       W32/Mydoom.R@mm (F-Secure)
       W32/Mydoom.s@MM (McAfee)
       Worm.Mydoom.q(金山)
       Win32.Mydoom.s(冠群金辰)
       WORM_RATOS.A(Trendmicro)
       I-Worm.Mydoom.q(AVP)

  病毒类型:蠕虫
  病毒长度:27,136字节
  受影响的系统:Windows 95/98/Me/NT/2000/XP/2003

  病毒特性:
  1、生成病毒文件
  该病毒运行后在系统内生成下列文件,
  %System%\winpsd.exe
  %Windows%\rasor38a.dll
  (其中,%Windows%通常为C:\Windows或C:\Winnt,%System%在Windows 95/98/Me下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为C:\Windows\System32)

  2、修改注册表
  病毒修改注册表,以达到随系统启动而自动运行的目的,在
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
  winpsd = "%System%\winpsd.exe"

  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer下创建
  "InstaledFlashhMX""="1"
  用以判定该系统已经被感染。

  3、通过电子邮件进行传播
  病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从注册表的相关键值下和多种扩展名的文件中搜集邮件地址,病毒还会按照一些制定的规则自己声称邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。

  病毒发送的邮件格式如下:
  主题:photos
  正文:LOL!;))))
  附件:photos_arc.exe

  4、其他
  病毒会尝试从多个URL下载并执行一个后门程序,如下载成功,会将其保存在Windows文件夹中,名称为winvpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机,从而使系统安全受到威胁。

  清除该病毒的相关建议:

  1、终止病毒进程
  在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE
  在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC
  选择"任务管理器--〉进程",选中正在运行的病毒进程,并终止其运行。

  2、注册表的恢复
  点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的winpsd = "%System%\winpsd.exe"

  3、删除病毒文件
  点击"开始--〉查找--〉文件和文件夹",查找"winpsd.exe"、" rasor38a.dll ",并将找到的文件删除。

  4、运行杀毒软件对系统进行全面的病毒查杀
  国家计算机病毒应急处理中心提醒广大用户升级杀毒软件,启动实时监控功能,留意病毒邮件的特征,收到此类邮件千万不要打开附件,应立即删除。

  本周发作:

  病毒名称:"埃尔娃"(VBS_ELVA)
  病毒类型:脚本类语言病毒
  发作日期:8月24日
  危害程度:病毒修改Office 2000的安全设置并将IE的安全级别设为"低",并向地址列表中的用户发送染毒邮件。在该日显示一个对话框,包含以下信息"==Happy birthday== I love ELVA 4 ever"

  专家提醒:
  1、定期升级系统,安装补丁程序,堵住病毒入口。
  2、及时升级杀毒软件,并启动"实时监控"功能,并做好病毒检测和清除的相关设置。
  3、很多病毒发作后,会破坏一些系统文件,导致在Window环境下无法杀毒,所以制作系统启动应急盘是非常必要的,因为一旦硬盘分区表遭到破坏,只能使用软盘启动,而如果你有应急盘,可使用备份的分区表文件直接恢复,这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能,而且在软件安装过程中会要求用户进行该项操作,此时不能跳过此步骤。
 
 
关闭窗口