众所知之,病毒的发作经常是可预测的,以下为三月份重要病毒发作预告:
一、I-Worm/KakWorm(3月1日)
二、Holiday家族(3月3日、4日)
三、W97M/SMDM.A(3月5日)
四、Win32/HLLW.Nulock(3月的星期二10:30)
五、I-WORM/Klez及其变种(3月13日)
六、I-Worm/Lentin.i(3月25日)
七、March 25th(3月25日)
病毒名称:I-Worm/KakWorm
病毒类型:脚本病毒、蠕虫
发作时间:3月1号
发作方式:弹出消息框,重启系统
危害程度:一般
病毒描述:
这个病毒使用JavaScript编写,通过嵌入MS Outlook Express邮件的正文中传播,主要感染英语和法语的操作系统。
在感染时,蠕虫会创建三个文件:
KAK.HTA,
<随机文件名>.HTA,
KAK.HTM,
发作时如果当前日前是1号,显示下面内容的消息框:
Kagou-Anti-Kro$oft says not today !
然后会重启Windows。
预防方法:打开病毒实时监控,对外来邮件进行扫描,不要轻易运行不确定的文件,尤其要注意.HTA和.HTM文件,提高IE的安全性级别,及时进行升级。
解决方案:使用KV江民杀毒王2003全面扫描系统,把检测到感染病毒的文件全部删除,并打开实时监控,
如果不需要使用HTML应用程序组件,可以删除.HTA的文件关联项,这样可以避免被感染。
方法是:打开[文件夹选项]-->[文件类型],然后从[已注册的文件类型]选择"HTML Application",再选择删除。
病毒名称:Holiday家族
病毒类型:传统DOS病毒
发作时间:3月3日、4日
发作方式:如果是3月3日,病毒显示下面的消息:
+----------------------------------------------------------------+
| ATTENTION! |
| I'm very sorry, today is my holiday. || So, I can't serve you, cause I want to play on your computers. |
| |
| DON'T TURN OFF YOUR COMPUTER UNTIL TOMORROW, |
| OR YOUR DATA WILL BE LOST!!! |
| |
| I'll be back to serve you tomorrow. |
| Thank You, |
| |
| AAA |+----------------------------------------------------------------(大意是:注意:我非常抱歉,今天是我的假日。所以我不能为你服务,我想在你的机器上玩。
别关闭你的机器,除非是明天,否则的话,你的机器上的数据都将丢失。明天我再来。)
如果是3月4日,病毒显示下面的消息,然后重启计算机:
Thank You for playing, see you...
Please, hit ENTER!
危害程度:一般
病毒描述:
一种危险的内存驻留的寄生病毒,它们可以截获INT 21h,运行时把它们自己写到.COM和.EXE文件的尾部,
并试图感染当前分区中的COMMAND.COM文件。
解决方案:使用KV江民杀毒王2003进行全盘扫描,删除检测到的病毒文件。
病毒名称:W97M/SMDM.A
病毒类型:Macro(宏病毒)
发作时间:3月5号
发作方式:病毒一旦发作就会删除C盘中的所有文件,造成很大损失。
危害程度:高
病毒描述:
这是一个只复制MS Word Normal.dot模板的宏病毒,它的长度为一个VBA模块,向Autoexec.bat文件中添加删除C盘所有文件夹和文件的命令,这些命令将在下一次重启机器时执行,而且会禁用MS Word的工具宏选项。
解决方案:对来历不明的文档在打开前先使用KV江民杀毒王2003进行病毒扫描,最好把MS Word的安全级别设成最高,出现异常现象马上检查Autoexec.bat是否被修改。
病毒名称:Win32/HLLW.Nulock
病毒类型:蠕虫
发作时间:3月的星期二10:30
发作方式:修改注册表,破坏文件内容。
危害程度:中
病毒描述:
一个危险的Win32蠕虫病毒,使用Delphi编写,长度为300K,蠕虫作为一个进程常驻内存中,并把自己拷贝到软盘(如果有软盘的话)中。
向注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中增加蠕虫文件名的引用,
并创建注册表键HKCR\dllfile\shell\open\command,如果时间是星期二的10:30,病毒会清除下面注册表文件的内容:
USER.DAT, SYSTEM.DAT, USER.DA0, SYSTEM.DA0。删除了这些文件,显然机器是不能启动的。
解决方案:使用KV江民杀毒王2003全面扫描系统,把检测到感染的文件全部删除,打开病毒实时监控。
病毒名称:I-WORM/Klez及其变种
病毒类型:网络蠕虫
发作时间:3月13
发作方式:发送邮件、删除文件
危害程度:高
病毒描述:病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000系统。邮件部分和Nimda/Sircam非常相似,它用WAB文件来获取EMail地址,使用内在的SMTP引擎来发送EMail。邮件内容是HTML,Klez用IFRAME漏洞在受害者的电脑上来执行自己,而不需要用户运行附件。如果日期是每个月的13号,Klez将调用它的发作部分。它将搜索每一个硬盘或映射盘从A到Z并毁掉所有的文件,很难恢复。
预防方法:下载微软的补丁程序,开启病毒实时监控防火墙。
解决方案:
请参照江民公司网上杀毒技巧中的求职信专题。
病毒名称:I-Worm/Lentin.i
病毒类型:Worm
发作时间:3月25
发作方式:会弹出一个消息框,并交换鼠标左右键的功能,修改注册表。
危害程度:高
病毒描述:
该蠕虫是W32/Yaha.J的变种,它会结束一些杀毒软件和防火墙进程,蠕虫用它自己的smtp引擎给Windows地址薄中的所有联系人、MSN Messenger、.NET Messenger、Yahoo Pager以及所有扩展名中包含字母HT的文件中的邮件地址发送邮件,邮件的内容是随机的。蠕虫是用MS C++写的,使用了UPX压缩,没压缩的文件大小为75KB。如果日期是3月25,病毒会弹出一个消息框,并交换鼠标左右键的功能。
预防方法:以防为主,打开病毒实时监控功能。
解决方案:
1.更新KV江民杀毒王2003病毒库,重启进入安全模式,把文件Regedit.exe拷贝成Regedit.com,并运行Regedit.com打开注册表编辑器,修改键HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command的默认值为"%1" %*;分别定位到KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,删除的键值WinServices.exe C:%System%\WinServices.exe;
2.重启计算机进入普通模式,使用KV江民杀毒王2003全面扫描系统,把检测到感染I-Worm/Lentini的文件全部删除。
病毒名称:March 25th
病毒类型:文件型病毒