|
作者: toy [toy] 论坛用户 | 登录 |
附埃瓦档案:病毒介绍: 该病毒群于7月2日被瑞星全球反病毒监测网截获,该病毒群除了会通过邮件疯狂传播之外,还会给打开系统后门,控制用户计算机。值得注意的是,病毒运行后还会自动连接网站并显示十幅图片,该图片全部是玻利维亚领导人埃瓦.莫里斯的近照。 病毒运行时会在用户的系统目录中产生十几个不同的病毒体,并修改相关的文件关联,只要用户打开或运行后缀为exe、com、bat、pif、hta的文件,病毒就能自动运行,然后控制系统,打开后门,等待远程的连接。病毒还会利用用户的邮件系统,向外发送标题为:“El adelanto de matrix ta gueno?”,附件名:hotmailpass.exe的病毒邮件。 病毒的发现与清除: 此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒: 1、病毒会修改下列扩展名的文件关联:exe、com、bat、pif、hta和配置文件win.ini、system.ini的启动内容,用户可以手工恢复这些文件关联,或使用一些注册表修复工具修复注册表,对于配置文件,用户可以用编辑软件如记事本编辑,将病毒改过的内容改回。 2、病毒会通过修改注册表来自启动,修改的相关键值为: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system %WinDir%\system.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4\System %WinDir%\system.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunSevices\System %WinDir%\system.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunSevicesOnce\System %WinDir%\temp.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System %WinDir%\system.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4\System %WinDir%\temp.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunSevices\System %WinDir%\commands.com 用户可以直接删除病毒产生的这些键值。 注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。 3、病毒运行后,会复制自己到下列目录,列表如下: %WINDIR%\COMMAND.EXE %WINDIR%\SYSTEM.EXE %WINDIR%\HOT GIRL.SCR %WINDIR%\ALL USERS.EXE %WINDIR%\INF.EXE %WINDIR%\TEMP.EXE %WINDIR%\INTERNET DOWNLOAD.EXE %WINDIR%\SHELL.EXE %WINDIR%\SYSTEM32.EXE %WINDIR%\SYSTEM64.PIF %WINDIR%\INTERNET FILE.EXE %WINDIR%\PART HARD DISK.EXE %WINDIR%\SYSTEM32\COMMAND.COM %WINDIR%\SYSTEM32\NET.COM %WINDIR%\SYSTEM32\WWW.MICROSOFT.COM %WINDIR%\SYSTEM32\INF.EXE C:\RECYCLED\EVO MORALES.SCR。 用户可以搜索系统目录,发现这些文件后直接删除。 4、病毒会通过发送邮件的方式进行传播。发送: 标题是:El adelanto de matrix ta gueno? 内容为: Pablo_Hack Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. Chau? 附件为:hotmailpass.exe的病毒邮件,用户如果发现这样的邮件,则可以直接将该邮件删除。 如果在自己的计算机中发现以上全部或部分现象,则很有可能中了埃瓦(Worm.Colevo.a/b/c/d/e)病毒。 小弟中的似乎好象还是变异的,手动删除也删除不了。请问除了格式化所有盘以外还有别的办法没?有专杀工具的给个网址 |
地主 发表时间: 10/30 13:54 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号