基本介紹
病毒評估,感染途徑,解決方案,相關新聞,
病毒評估
警惕程度:★★★★☆
發作時間:隨機

感染途徑
瑞星全球反病毒監測網截獲了一個傳播速度極快的惡性蠕蟲病毒“斯文(Worm.Swen)”,它於2003年9月19日開始在我國傳播。該病毒會象“求職信”一樣在網路中大面積泛濫並引起網路阻塞, 影響用戶的正常上網。該病毒會將自己偽裝成微軟公司的升級郵件來誘惑用戶點擊,當用戶運行該病毒時還會顯示安裝進度條,具有非常大的迷惑性。另外,該病毒還有一個獨特之處,就是它會實時自動統計傳送成功的病毒郵件數量,至今全球已有幾百萬台電腦收到了該病毒的帶毒郵件,用戶隨時都有可能激活該病毒。
該病毒運行時會將自己偽裝成一封微軟公司升級郵件,然後搜尋所有有效的郵件地址向外瘋狂傳送病毒郵件。該病毒郵件的標題為:"Returned Response"(譯文:反饋信息),附屬檔案是病毒本身。當病毒運行時會提示:“This will install Microsoft Security Update Do you wish to continue?”(譯文:將安裝微軟安全補丁,你希望繼續嗎?),如果用戶選擇“是”,則會出現一個安裝進度條,當安裝後還會提示已經安裝成功,讓用戶以為是真正的補丁程式,其實這時候病毒已經運行。
病毒運行後會將自己拷貝到系統目錄,然後將隱藏於記憶體之中伺機進行感染,並且關聯後綴為:BAT、COM、EXE、PIF、REG等類型的的檔案,當用戶運行這類檔案時,病毒便會顯示一個出錯框,其實這時病毒已經開始搜尋硬碟中的有效郵件地址了。此外,病毒還會通過mIRC軟體進行傳播,幹掉幾十家反病毒軟體與防火牆,使用戶電腦的安全防護失效。
最近發現的“藍盒子(Worm.Lehs)”、“V寶貝(Win32.Worm.BabyV)”和 “斯文(Worm.Swen)”病毒,都是將自己偽裝成微軟公司的補丁程式來進行傳播的,希望廣大用戶提高辯別能力,免遭這些病毒侵擾。
對於Win9x: WindowsStart MenuProgramsStartup |
對於Win2000/WinXP: Documents and SettingsStart MenuProgramsStartup 如果登錄用戶名為:administrator,則該資料夾為: Documents and SettingsAdministratorStart MenuProgramsStartup |
對於WinNT: WinntProfilesStart MenuProgramsStartup 如果登錄用戶名為:administrator,則該資料夾為: Documents and SettingsAdministratorStart MenuProgramsStartup |
5、蠕蟲還會向它指定的自聞組傳送帶病毒的郵件。
解決方案
該病毒使用病毒名、註冊表中啟動項的鍵值都會使用隨機的,所以手工清除會有一定的困難,建議各位網路用戶採用以下方法對病毒進行清除。
方法三:首先,下載一個專殺工具(地址請見上面),然後重啟,當出現那個執行檔(如:adks.exe)找不到而需要重新定位時,把專殺工具改成該名(即adks.exe),跟住把路徑定位到專殺工具存放的地方,確定--執行,此時病毒運行的同時防毒軟體也運行,相者便會抵消。現在就可以運行REGEDIE把相關病毒運行相關註冊表項刪除。
相關新聞
惡性蠕蟲Worm.Swen爆發 全球百萬台電腦中招
該病毒會象“求職信”一樣在網路中大面積泛濫,它將自己偽裝成微軟的升級郵件來誘惑用戶點擊,當用戶運行該病毒時還會顯示安裝進度條,具有非常大的迷惑性。
該病毒運行時會將自己偽裝成一封微軟升級郵件,然後搜尋所有有效的郵件地址向外瘋狂傳送病毒郵件。該病毒郵件的標題為:"Returned Response"(譯文:反饋信息),附屬檔案是病毒本身。
當病毒運行時會提示:“This will install Microsoft Security Update Do you wish to continue?”(譯文:將安裝微軟安全補丁,你希望繼續嗎?),如果用戶選擇“是”,則會出現一個安裝進度條,當安裝後還會提示已經安裝成功,讓用戶以為是真正的補丁程式,其實這時候病毒已經運行。