发信人: zero_bug()
整理人: emil(2002-07-20 18:01:19), 站内信件
|
对《I LOVE YOU病毒的简单分析和清除》一文的几点补遗(1)
声明:以下的分析,仅是笔者根据个人对病毒程序的分析而提出的,并不保证正
确和/或全面。对于您根据本文的分析,而造成的一切后果,笔者不承担任何法律
上和/或道义上的责任。
1、一个简单的自救应急方法:
在一时找不到相应杀毒软件的情形下,可以简单的用下面的方法来应急。
因为这个病毒是基于Windows Scripting Host和JAVAScript而运作的,因此,只
要:
A、将C:\WINDOWS\WSCRIPT.EXE以及C:\WINDOWS\COMMAND\CSCRIPT.EXE改名。
B、在"控制面版/INTERNET/安全"中,将"JAVA小程序脚本"设置为"禁用"或"提示
"(注意:禁止使用JAVAScript可能导致某些网页,如热讯留言版,无法正常使用
)。
经过上述处理,可使宏病毒部分暂时无法在本机运行。
然后,删除以下文件:
WIN-BUGSFIX.exe(注意:这个文件的存放位置,在不同的机器上可能不同,推荐
使用"查找"功能进行全盘搜索)。
这时,病毒的木马部分也已清除。
由于病毒可以通过共享驱动器进行传播、破坏。如果您在使用局域网,建议您暂
时关掉所有的"写共享"目录,以防其它人机器上的病毒,对您共享目录中的资料
进行破坏。
2、关于被破坏数据的恢复:
由于病毒在传染时,采用了覆盖式重写的方法,因此,被破坏的文件几乎不可能
完全正常恢复。这也是此病毒最可怕/可恨的地方。
对于这种情形,NAV采取了简单删除/隔离被感染文件的措施,这也是一般的处理
办法。
不过,如果您的数据十分重要,也可以尝试着用一些软件来恢复:
Undelete工具:RecoverNT、Recover 4 all(注意:不推荐使用DOS模式下的工具
和NORTON中的UNERASE)
全盘搜索/恢复工具:PowerQuest Lost & Found
如果您对系统有相当程度的了解,且数据十分重要,也可以使用DiskEdit之类的
工具,手动进行修复。
2000/05/06 10:11 PM
+-----------------------------------+
|zerobug (虫子~~debug中) |
| [email protected] |
| *_* |
| (D) |
| (E\___/^} 要扫除一切害人虫,|
| \B U G/ 全无敌! |
| ~~~~~ |
+-----------------------------------+
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.99.188.11]
|
|