荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: master (genius), 信区: Virus
标 题: “中国一号”病毒解决方案出台
发信站: 荔园晨风BBS站 (Thu Sep 20 12:33:54 2001), 转信
今天,国家计算机病毒应急处理中心成员单位、北京江民公司病毒快速反应小组又
率先捕获了一种名为I-WORM/CHINA-1#"中国一号"的新型恶性网络蠕虫病毒,该病
毒传染能力极强,用户一旦遭受感染,机器将无法工作。权威反病毒专家王江民提
醒广大用户加强防范,立即升级KV3000反病毒软件,可有效查杀该病毒。江民公司
已率先向广大用户提供查杀"红色一号"的解决方案。
据介绍,该病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000等操作系统
,当浏览含有I-WORM/CHINA-1#"中国一号"病毒邮件时,病毒利用病毒体内
VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机
进行感染和破坏。病毒在WINDOWSSYSTEM目录内生成病毒文件RICHED20.DLL和
LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生成ADMIN.DLL病
毒文件,其字节数为:57344。该病毒传染.nws、.eml、.doc、.exe等文件,还找
出Email地址发送病毒本身,即附件长度为79225,但打开看时,其长度为0。
另外,该病毒在发作时将对SYSTEM.INI进行修改,并利用IIS5.0的漏洞,上传
ADMIN.DLL在C:、D:...并修改用户的主页,在主页后加上一个链接README.EML,感
染的电脑均不断生成一个个随机文件名的eml文件。同时,病毒还在C:
INETPUBScripts目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344。
广大计算机用户可去江民公司网站(www.jiangmin.com.cn)查看具体解决方案
。
以下为江民公司提供的具体解决方案:
1 使用干净DOS软盘启动机器。
2 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除
吗,请按"Y"键删除病毒体。其它被感染的文件,KV3000.EXE或KVD3000会将病毒体
从文件中清除,保留原文件。
3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。
4 开启KVW3000实时监测病毒防火墙。
5 建议将WSH(Windows Scripting Host)功能删除可预防此类病毒的破坏。
其步骤是:
"开始"->"设置"->"控制面版"->"添加删除程序"-〉"WINDOWS按装程序"-〉"附
件",在"组件"中的"Windows scripting Host"(约占空间1.1MB),去掉选择,即去
掉勾号!然后,选"确定"即可。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如
/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址
下载:
www.microsoft.com/ href=http://tech.sina.com.
cn/kejizhuanti/win2000.html
target=_blank>Windows2000/downloads/critical/q293826/download.asp
WINDOWS/NT/2000系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软
盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS/NT/2000系统下又杀不
干净病毒。
在此情况下,不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按
如下方法杀毒:
1 找一无毒的并装有WINDOWS/NT/2000系统的机器,将KVW3000安装到硬盘中。
2 将患毒的硬盘挂接在无毒的机器上做为副盘。
3 用无毒的主盘引导机器后,调用KVW3000或KVD3000查杀副盘中的病毒。(军)
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.47.249]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店