● 网络蠕虫Trojan.MultiDropper的清除 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: gordonlot (可能不用重修了), 信区: Virus
标题: 网络蠕虫Trojan.MultiDropper的清除
发信站: 荔园晨风BBS站 (Fri Jan 18 19:17:29 2002), 转信

　　国家计算机病毒应急处理中心成员单位北京江民新科技术有限公司计算机病毒
快速反应小组最新捕获一种新的网络蠕虫程序Trojan.MultiDropper。

　　一个典型的蠕虫程序的附件名称是c_num.gif.exe,文件的大小是：61705字节
。当它运行后，将自身拷贝到WINDOWS 的 SYSTEM 目录下，但是具体的文件名称被
修改成：C:\WINDOWS\SYSTEM\KERNELSYS32.EXE,同时也往网络邻居的可写磁盘的的
回收站上写该文件，但文件名称却被修改成c:\Recycled\Notdelw.i.n.v.e.r.y.
i.f.y.exe,接着修改网络邻居的计算机WINDOWS系统文件系统配置文件win.ini,以
使系统每次启动后都能自动运行在这个回收站（长长的怪的文件名称）中的文件。

　　（1）该网络蠕虫修改系统注册表：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　增加的键值是：IMEKernel32 为 C:\WINDOWS\System\Kernerlsys32.exe通过
修改该键值，该网络蠕虫程序会在系统每次启动时自动加载。

　　（2）该网络蠕虫的重要部分在于通过EMAIL来传播。大多数情况下，网络蠕虫
传播的附件的名称是汉字文件名，但是扩展名称不一样：一般的双扩展名称，一个
是：bmp、rtf、doc、txt、gif、jpeg、jpg ，另外的一个扩展名称是：exe 或者
lnk.

　　该网络蠕虫程序在本地盘的htm 或者 html 文件或者邮件文件包中搜索
Email 地址，在搜索完能找到的所有可以感染的Email地址后，该网络蠕虫程序利
用自身的SMTP引擎来发送网络蠕虫程序，该网络蠕虫程序可以在没有打补丁的系统
上，仅仅浏览信件就可以发作。漏洞下载地址：

　　http://www.microsoft.
com/windows/ie/downloads/critical/q290108/default.asp。

　　注册表的修改：

　　（1）执行regedit

　　（2）找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　（3）直接删除网络蠕虫建立的键值：

　　IMEKernel32 C:\Windows\System\Kernelsys32.exe

　　（4）退出regedit

　　该邮件的主题是随机的，附件的文件名称是随机的，扩展名称是双扩展名称的
。附件的大小基本是相同的。

　　最主要的问题是将自身发送给能发现的Email地址，并能自动搜索共享系统将
网络蠕虫拷贝到共享目录的回收站中。

　　请KV3000所有用户安装WINDOWS相应的补丁程序，并上网络升级最新版本的多
功能国际版本，保持最新版本来查杀该计算机病毒。并开启KVW3000的实时监视程
序来预防该网络蠕虫程序的清除。

　　请用户及时升级KV3000多功能国际版本，升级网络地址是：http://www.
jiangmin.com 或http://www.jiangmin.com.cn .

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店