荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Mic (酷鱼), 信区: Virus
标 题: 常见邮件病毒的症状和解毒方法
发信站: 荔园晨风BBS站 (Tue Apr 17 12:54:49 2001), 转信
国际计算机安全权威机构发布最新病毒公告称,发现了一种新型的名为"W97M
/Melissa"的宏病毒(美丽杀手),该病毒能传染Word 97和Word 2000。第一天便有
60000台以上机器被感染,短短的一个星期,互联网便经历了一场罕见的"电子邮件
病毒"的风暴!"电子邮件病毒"真这么厉害吗?有没有方法可以解毒呢?下面让我
们来看看这些病毒的发作症状及解毒方法。看完后,你就可以对"它们"说" 不"。
●美丽杀手根据KILL98反病毒技术人员对W97M/Melissa病毒进行的分析,确定该病
毒传染的对象是Word 97和Word 2000文件。当用户打开已感染有该病毒的文件时,
美丽杀手便传染用户系统,同时,病毒通过用户收发带毒的电子邮件互相传染,而
且传染方式非常隐蔽。美丽杀手病毒的具体表现症状是:
1.当用户打开的文件感染有该病毒时,病毒首先检查注册表中是否有美丽杀手的注
册信息,若有则表明系统已被传染,否则,在注册表中创建一条注册项如下:
HKEY_CURRENT_USERSoftwareMicrosoftOffice"Melissa?"="... by Kwyjibo"
2.利用Visual Basic指令建立一个OutLook对象,从OutLook的全域地址表中获取成
员地址信息,将下列信息以电子邮件方式,自动发送到地址表中的前50个邮箱 (一次
发送50封邮件)。其中:邮件主题为:"Important Message From-" 正文为:"Here
is that document you asked for ... don't show anyone else ;-)"。之后,病
毒将已感染有该病毒的文件作为附件发送出去。目前较为流行的一种附件的文件名
为"list.DOC"(注意附件的文件名并不只有这一种)。
3.当用户接收到带毒的邮件并打开时,用户的Word系统中所有打开的文件将被传染
。当机器时钟的时间数值与日期的数值相同时,如4月27号的4点27分,病毒将打开
一个被传染的文件,在当前的光标位置插入下列信息:"Twenty-two poin ts, plus
triple-word-score, plus fifty points for using all my letter s.
Game's over. I'm outta here."
4.值得注意的是美丽杀手在传染Word 2000时,首先从注册表中检查其安全保护级别
,如果注册表中HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0Wo
rdSecurity"Level"的值不为0,将禁用菜单中的"MACRO/SECURITY"选项。如果用户
使用的系统是Word 97,则禁用菜单中"TOOLS/MACRO"选项。
●"怕怕"病毒美丽杀手病毒余威尚存,作为美丽杀手病毒的发现者,Network
Associates 公司又发现了一种与它类似但危害更大的电子邮件病毒Copycat。这种
被昵称为 "Papa"(怕怕)的新病毒是一种Excel病毒,跟Melissa一样,它可以自动
复制自己并发送给用户地址簿中的前60个人。此外,Papa每次被激活时都向外发送
电子邮件,而Melissa只在第一次被激活时才发送邮件。Papa也向IP地址为207.
222.21
4.225或者24.1.84.100的服务器随机发出"拒绝服务类型的攻击"。
●"辛迪加"病毒 "Syndicate.A"(辛迪加),是基于Word 8 (Office 97)病毒的一个
变种,与美丽杀手病毒非常相近,但比美丽杀手的危害性大。它驻留在
ThisDocument模块中,被感染的机器在使用Outlook时,病毒从地址簿中每一个地
址列表中挑选前69个地址,然后把已感染的文档作为附件发送给这些地址。主题行
为:"Fun and ga mes from Username",正文信息为:"Hi! Check out this neat
doc I found on the Internet!"发送完毕后,Syndicate.A还将发送E-mail给另
一接收者:p roject1@nym.alias.net,主题为:"Guess who's infected:
UserName"(猜猜又有谁中毒了),正文信息为"Infected!" 解毒方法:最新发布的
KILL98的4.19版(www.kill.com.cn)和Network Assoc iates的Mcafee
Virusscan(www.nai.com)等国内外杀毒软件已经能够杀除美丽杀手及其变种了,已
经中毒的赶快去下载啊。
●Happy99病毒看着现在横行江湖的美丽杀手,如果你记性还好的话,也许还记得
曾经风光一时的"Happy99"吧,Happy99对硬件和数据均没有大的影响,惟一的只是
默默地耗费着时间和资源,减缓网络运行的速度,直至导致公司邮件服务的瘫痪。
同样地,该程序也是通过电子邮件,向被感染用户所使用的新闻组和邮件地址发送
几百份自身的拷贝。如果你收到一封E-mail,带有一个名为happy99.exe(注意,可
能不是这个文件名)的附件,而你去执行了它,你的屏幕上就会自动打开一个窗口
,以黑色为底色的满天烟火,此后,只要你发信夹带附件就死机。重新启动后,还
是不能发送夹带附件的信。如果不夹带附件,可以发信,但是Happy99会悄悄附在
信中,对方如果运行,即被感染。然后,happy99就潜伏下来,如有机会,会赠送
下一个收信人一个自身的拷贝。解毒方法:如果你收到带有Happy99.exe的邮件,并
且已经运行了happy99.ex e,恭喜你,你将有机会看到下面的解毒方法(如果没有
运行,那我要祝贺你,因为你是一个聪明人)。通过更新病毒库,最新的PCCillin
或Norton防毒程序可以将happy99查解。另外,国内的冠群金辰(www.kill.com.
cn)、瑞星(www.rising.com.cn)、信源(ww w.vrv.com.cn)等杀病毒厂商已推出清
除happy99的软件。当然你还可以用手工进行检测和处理:打开Windows的System目
录,如果发现有ska.exe、ska.dll与ws ock32.ska等三个文件,那就说明你的电脑
已经中毒了!你可以将前两个文件删除,再把wsock32.ska重新命名为wsock32.
dll,然后,再将邮件中的happy99.e xe删除即可。
--
◣ 河豚毒
≈
▄▄▄▄▄≈█·◢███████████████████████◤
◥▄▄▄▄≈█·◥██████████████████████◤
≈
◥
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店