计算机病毒应急处理中心提醒谨防Mydoom病毒变种 |
---|
http://www.sina.com.cn 2004年08月22日12:19 新华网 |
新华网天津8月22日电(记者张建新)国家计算机病毒应急处理中心通过监测发现,近期出现了Mydoom病毒的变种,提醒广大用户该病毒的标题、内容和附件名称是固定的,遇到这类邮件用户应立即删除,不要打开。同时升级杀毒软件,启动实时监控功能。 病毒名称:Worm_Mydoom.S 病毒类型:蠕虫 受影响的系统:Windows 95/98/Me/NT/2000/XP/2003 病毒特性: 1、生成病毒文件 该病毒运行后在系统内生成下列文件: %System%\winpsd.exe %Windows%\rasor38a.dll (其中,%Windows%通常为C:\Windows或C:\Winnt,%System%在Windows95/98/Me下为C:\Windows\System,在WindowsNT/2000下为C:\Winnt\System32,在WindowsXP下为 C:\Windows\System32) 2、修改注册表 病毒修改注册表,以达到随系统启动而自动运行的目的,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建winpsd=%System%\winpsd.exe,HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer下创建InstaledFlashhMX=1,用以判定该系统已经被感染。 3、通过电子邮件进行传播 病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从注册表的相关键值下和多种扩展名的文件中搜集邮件地址,病毒还会按照一些制定的规则自己声称邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。 病毒发送的邮件格式如下:主题:photos正文:LOL!;))))附件:photos_arc.exe 4、其他 病毒会尝试从多个URL下载并执行一个后门程序,如下载成功,会将其保存在Windows文件夹中,名称为winvpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机,从而使系统安全受到威胁。 清除该病毒的相关建议: 1、终止病毒进程 在Windows9x/ME系统,同时按下CTRL+ALT+DELETE,在WindowsNT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择任务管理器--〉进程,选中正在运行的病毒进程,并终止其运行。 2、注册表的恢复 点击开始--〉运行,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,并删除面板右侧的winpsd=%System%\winpsd.exe 3、删除病毒文件 点击开始--〉查找--〉文件和文件夹,查找winpsd.exe、rasor38a.dll,并将找到的文件删除。 4、运行杀毒软件对系统进行全面的病毒查杀 另外,近期出现了利用感染的Office文档进行传播的新型病毒,病毒的运行同样需用户的点击,所以提醒用户对于来历不明的邮件和Office文档,不要随便打开,应先对其进行病毒检测在进行处理。 |