发信人: stlily(白鹤)
整理人: emil(2002-01-08 11:27:04), 站内信件
|
病毒"WORM_UPDATA.A" 每月12日发作
别名:UPDATR.A, I-Worm.Updater, W32.Updater.gen@mm, W32/Updatr@MM, W32/Updatr.vbs, I-WORM.IMELDA
病毒描述:
12月6日,发现一种新病毒“WORM_UPDATR.A”正通过email传播。携带该病毒邮件的主题和附件有多种形式,但正文均为“嘿:这是你需要的文件,请将其保存到磁盘中或打开运行,它非常重要”。该病毒每月12日发作,会将硬盘中所有扩展名为.DOC、.EXE 和.TXT的文件复制并添加后缀.VBS,制造出大量垃圾文件,并发送两封email给所有邮件通讯录中的用户。请尽快升级的升级您的病毒码,以有效防、杀该病毒。
该病毒文件由Visual Basic 编写,用UPX压缩,压缩后的大小为12,288 字节,解压后为40,960字节。
携带该病毒的邮件形式如下:
邮件主题:(随机选择以下一种)
Check For This Transaction,
Have you Look at this Quotation,
How to Check out The Patch,
Why Not you Open For this Transaction
信件内容:Hi:
This is the file you ask for, Please save it to
disk and open this file, it's very important.
邮件附件:
Setup.EXE
install.exe
Readme.exe
Files.exe
Picture.exe
Quotation.Doc.exe
Letter.Doc.exe
Picture.jpg.exe"
当执行邮件附件后,病毒将在windows系统目录中产生UPDATE.EXE 和 SETUP.EXE 两个应用程序,并显示如下错误提示框:
File Open Error:
Cannot Open files : It does not appear to be a valid archive If you Download his file, try downloading the file again.
系统中毒后,在%windows%\Start\Menu\Programs\StartUp 目录中产生UPDATE.VBS文件,将于每月12日显示如下内容:
I-WORM.IMELDA.B
Hi there.., you are infected by some of IWING creations.., have a nice day,
然后,搜寻系统中扩展名为.DOC, .EXE 和.TXT的文件,复制并添加扩展名为.VBS,内容与上面显示内容基本相同。
解决方案:
1. 进入%startup% 目录,通常位于C:\ directory (C:\%windows%\START MENU\PROGRAMS\STARTUP。
2. 查找并删除UPDATE.VBS 文件。
3. 点击开始-》运行,输入Regedit命令,修改注册表文件。
4. 双击如下条目HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run。
5. 在右边的面板中寻找并删除注册码Update。
6. 重新启动计算机。
以上资料,由“乐亿阳趋势”提供。
---- 一天到晚灌水的鱼 |
|