圣诞节病毒(W32.Navidad,在西班牙语中是圣诞节的意思)是目前新出现的蠕虫程序,它存在于Windows 9x和Windows NT中。Navidad病毒是通过电子邮件附件的方式,以navidad.exe文件传播的。用户是从一个已被感染的用户那里收到这样的附件邮件的。一旦该病毒感染一台计算机,它就阻止该计算机运行所有的.exe文件,包括像微软公司的Word程序这样的基本办公工具。目前该病毒已经在国内大规模流行,请用户升级到最新的瑞星11.33版本加以防范,已经感染了该病毒的机器请使用下面的方法加以清除。该病毒能通过Outlook以附件的形式传播,在用户不小心单击附件时开始运行,运行后先将自己复制到Windows\system下并修改注册表,企图使它在系统启动时和运行程序时启动。感染该病毒的机器将无法执行*.exe文件,结果使大多数应用程序无法正常启动。
(1) 单击【开始】→【程序】→【MS-DOS方式】命令,进入DOS模式。
(2) 将regedit.exe重新命名为 regedit.com。
(3) 回到Windows下运行Regedit。
(4) 单击【开始】→【运行】命令,在【运行】对话框的【打开】下拉列表框中输入regedit,单击【确定】按钮。
(5) 找到如下键值:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(6) 在右边窗口展开节点寻找含有下列登录的记录值并将其选中:
(Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir%
(7) 将其值改为"%1"%*"。
(8) 同步骤(3)~(5),输入regedit。单击【确定】按钮,展开以下注册表键值。
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
(9) 选择Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ,并单击【删除】按钮。
(10) 单击【开始】→【程序】→【MS-DOS模式命令】,单击进入MS-DOS方式。
(11) 将regedit.com重新命名为 regedit.exe。
求职信(Worm.wantjob.57345)病毒是一种新型恶意蠕虫病毒,它具有罕见的双程序结构,分为蠕虫部分(网络传播)和病毒部分(感染文件、破坏文件)。两者在代码上是独立的两部分,可能也是分开编写的。两者的结合方式非常有趣,作者先写好蠕虫部分,然后将病毒部分的二进制码在特定位置加进蠕虫部分,得到最终的病毒/蠕虫程序。感染该病毒后,计算机速度会明显变慢,系统资源明显减少,硬盘可用空间急剧减少。应该尽快用查找功能查看一下有没有WQK.exe和Krn132.exe文件,如果有的话,就说明该计算机已感染求职信病毒了。
求职信病毒利用了微软的MIME漏洞,具有自我复制、E-mail传播、通过网络共享传播、感染可执行文件(包括屏保)、破坏本地文件等手段。该病毒首先将自己要用到的字符串解码,接着启动一个线程不停的查询内存中的进程,检查是否有杀毒软件存在(如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止,并且每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
求职信具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能。在第一次运行时只执行蠕虫部分代码,具体如下:
(1) 求职信病毒把自身复制至\WINNT\System32\krn132.exe,并将其自身设置为系统、隐藏和只读属性。
注意:
在Windows 2000下同时设置了系统和隐藏属性的文件在文件夹中是不可见的,即使在文件类型选项中选择了【显示所有文件和文件夹】选项,也是不可见的。因此只有在文件夹选项中取消选择【隐藏受保护的操作系统文件(推荐)】后才可以看见的。
(2) 把\WINNT\System32\krn132.exe注册为Krn132服务,并设置为开机时自动运行。
(3) 在Internet临时文件夹中读取所有htm、html文件并从中提取E-mail地址,此蠕虫和Nimda一样利用了MIME漏洞把自身复制并添加到邮件中,发送到所有获得的地址。并将邮件主题设为下列之一:
Hi Hello How are you?
Can you help me? We want peace
Where will you go? Congratulations!!!
Don’t Cry
Look at the pretty Some advice on your shortcoming
Free XXX Pictures A free hot porn site
Why don’t you reply to me?
How about have dinner with me together?
Never kiss a stranger
(1) 删除网络中完全可写的共享,断开网络连接。
(2) 在DOS下删除系统目录下的WQK.exe和Krn132.exe文件,也可以通过管理系统进程的软件,首先将其正在运行的进程结束后再删除。
(3) 运行注册表编辑器,找到如下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
将键值名称为WQK.exe和Krnl32.exe的键删除。
(4) 到金山网站下载查杀求职信病毒工具,如图3-12所示。
http://www.iduba.net/download/other/tool_011027_wantjob.htm
注意:
一般情况不要将自己的目录设为完全共享,以防再次从局域网中感染该病毒。为了预防求职信病毒自动执行的特点,必须下载微软的补丁程序程序Sp2或安装IE6.0。
图3-12 查杀求职信病毒工具
将死者(Worm.Gone.38912)病毒属于一种蠕虫病毒,该病毒大小为39KB,它本身是一个压缩文件 ,如果打开压缩文件就会变成136KB的文件。此病毒是用Visual Basic编写,且经过压缩软件UPX压缩,反解压工具处理,再使用原始的UPX就不能解压了。由于是Visual Basic编写的病毒,它运行时就需要一个Visual Basic的动态链接库msvbvm60.dll,若用户的计算机里没这个文件,病毒就无法被激活。
● 通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件。
● 通过IRC聊天工具传送病毒文件。
● 通过ICQ聊天程序将病毒复制给其他ICQ用户。
● 通过MIRC方式,在系统中安装后门程序,病毒制造者可远程控制。
该病毒会伪装成一个屏幕保护程序开始传播,如果通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件时,它会以如下方式显示:
邮件主题:Hi
邮件内容:How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
附件名称:GONE.SCR
此病毒还会搜索计算机里的反病毒软件,它首先检查内存中是否有如下程序:
APLICA32.EXE、AVCONSOL.EXE 、AVP.EXE、AVP32.EXE、AVPCC.EXE、AVPM.EXE、CFIADMIN.EXE、CFIAUDIT.EXE、CFINET32.EXE、ESAFE.EXE、FRW.EXE、FEWEB.EXE、ICLOAD95.EXE、ICLOADNT.EXE、ICMON.EXE、ICSUPP95.EXE、ICSUPPNT.EXE、LOCKDOWN2000.EXE、PCFWallIcon.EXE、PW32.EXE、TDS2-98.EXE、TDS2-NT.EXE、VP32.EXE、VPCC.EXE、VPM.EXE、VSECOMR.EXE、VSHWIN32.EXE、VSSTAT.EXE、VW32.EXE、WEBSCANX.EXE、ZONEALARM.EXE
若存在上述程序,病毒将会自动关闭它们,同时查找硬盘上对应文件所在目录,并删除该目录下的所有文件。若无法删除,病毒会修改wininit.ini文件以便在系统重启时删除文件。
(1) 在纯DOS模式下,进入system目录,键入如下命令:
DEL GONE.SCR
说明:
删除gone.scr文件。
(2) 回到Windows,运行注册表编辑器,找到如下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
删除其中名称中含有\gone.scr的键值。
(3) 删除mIRC目录中的REMOTE32.INI 文件。
(4) 删除MIRC.INI文件,用以前的备份文件中恢复该文件。
(5) 该病毒就被轻松清除。