斯文病毒

斯文病毒

2003年9月18日晚,瑞星公司通過全球反病毒監測網截獲了一個傳播速度極快的惡性蠕蟲病毒“斯文(Worm.Swen)”。該病毒會象求職信病毒一樣在網路中大面積泛濫,它將自己偽裝微軟的升級郵件來誘惑用戶點擊;它會實時自動統計已被感染電腦的數量;此外,病毒還會通過mIRC軟體進行傳播,幹掉幾十家反病毒軟體與防火牆,使用戶電腦的安全防護失效。

基本介紹

  • 中文名:斯文病毒
  • 病毒類型蠕蟲病毒
  • 傳播途徑郵件/區域網路/mIRC軟體/Kazaa軟體
  • 依賴系統:WINDOWS 9X/NT/2000/XP
病毒評估,感染途徑,解決方案,相關新聞,

病毒評估

警惕程度:★★★★☆
發作時間:隨機
斯文病毒斯文病毒

感染途徑

瑞星全球反病毒監測網截獲了一個傳播速度極快的惡性蠕蟲病毒“斯文(Worm.Swen)”,它於2003年9月19日開始在我國傳播。該病毒會象“求職信”一樣在網路中大面積泛濫並引起網路阻塞, 影響用戶的正常上網。該病毒會將自己偽裝微軟公司的升級郵件來誘惑用戶點擊,當用戶運行該病毒時還會顯示安裝進度條,具有非常大的迷惑性。另外,該病毒還有一個獨特之處,就是它會實時自動統計傳送成功的病毒郵件數量,至今全球已有幾百萬台電腦收到了該病毒的帶毒郵件,用戶隨時都有可能激活該病毒。
該病毒運行時會將自己偽裝成一封微軟公司升級郵件,然後搜尋所有有效的郵件地址向外瘋狂傳送病毒郵件。該病毒郵件的標題為:"Returned Response"(譯文:反饋信息),附屬檔案是病毒本身。當病毒運行時會提示:“This will install Microsoft Security Update Do you wish to continue?”(譯文:將安裝微軟安全補丁,你希望繼續嗎?),如果用戶選擇“是”,則會出現一個安裝進度條,當安裝後還會提示已經安裝成功,讓用戶以為是真正的補丁程式,其實這時候病毒已經運行。
病毒運行後會將自己拷貝到系統目錄,然後將隱藏於記憶體之中伺機進行感染,並且關聯後綴為:BATCOMEXEPIFREG等類型的的檔案,當用戶運行這類檔案時,病毒便會顯示一個出錯框,其實這時病毒已經開始搜尋硬碟中的有效郵件地址了。此外,病毒還會通過mIRC軟體進行傳播,幹掉幾十家反病毒軟體與防火牆,使用戶電腦的安全防護失效。
最近發現的“藍盒子(Worm.Lehs)”、“V寶貝(Win32.Worm.BabyV)”和 “斯文(Worm.Swen)”病毒,都是將自己偽裝微軟公司的補丁程式來進行傳播的,希望廣大用戶提高辯別能力,免遭這些病毒侵擾
1、傳送帶毒電子郵件,多以退信、微軟公司發布的補丁升級程式形式傳送。病毒郵件利用IE的IFRAME漏洞可以在用戶不打開附屬檔案的情況下就可以自動下載到本地,並且立即執行
2、通過KazaA點對點工具的檔案共享功能進行傳播蠕蟲拷貝複本到該軟體指定的已分享檔案夾
3、通過IRC聊天工具的檔案共享功能進行傳播蠕蟲拷貝複本到該軟體指定的已分享檔案夾
4、通過網路共享進行傳播蠕蟲會查找網路中的已分享檔案夾,嘗試將複本拷貝到這些系統中的以下資料夾內:
對於Win9x:
WindowsStart MenuProgramsStartup
對於Win2000/WinXP:
Documents and SettingsStart MenuProgramsStartup
如果登錄用戶名為:administrator,則該資料夾為:
Documents and SettingsAdministratorStart MenuProgramsStartup
對於WinNT:
WinntProfilesStart MenuProgramsStartup
如果登錄用戶名為:administrator,則該資料夾為:
Documents and SettingsAdministratorStart MenuProgramsStartup
5、蠕蟲還會向它指定的自聞組傳送帶病毒的郵件。

解決方案

該病毒使用病毒名、註冊表中啟動項的鍵值都會使用隨機的,所以手工清除會有一定的困難,建議各位網路用戶採用以下方法對病毒進行清除。
方法一:請使用2003年9月19日以後病毒庫版本的金山毒霸查殺該蠕蟲病毒,然後使用“註冊表修復工具”修復病毒所改動的檔案關聯。
方法二:使用專殺工具,可以完全處理該蠕蟲病毒,包括回恢病毒把修改的註冊表項
方法三:首先,下載一個專殺工具(地址請見上面),然後重啟,當出現那個執行檔(如:adks.exe)找不到而需要重新定位時,把專殺工具改成該名(即adks.exe),跟住把路徑定位到專殺工具存放的地方,確定--執行,此時病毒運行的同時防毒軟體也運行,相者便會抵消。現在就可以運行REGEDIE把相關病毒運行相關註冊表項刪除。

相關新聞

惡性蠕蟲Worm.Swen爆發 全球百萬台電腦中招
2003年9月18日晚,瑞星公司通過全球反病毒監測網截獲了一個傳播速度極快的惡性蠕蟲病毒“斯文(Worm.Swen)”。
該病毒會象“求職信”一樣在網路中大面積泛濫,它將自己偽裝成微軟的升級郵件來誘惑用戶點擊,當用戶運行該病毒時還會顯示安裝進度條,具有非常大的迷惑性。
該病毒的另外一個獨特之處是,它會實時自動統計已被感染電腦的數量,截至到19日上午11:30全球被感染電腦台數已達123萬台,瑞星反病毒工程師判斷,該病毒正以每秒20台電腦的感染速度瘋狂傳播
該病毒運行時會將自己偽裝成一封微軟升級郵件,然後搜尋所有有效的郵件地址向外瘋狂傳送病毒郵件。該病毒郵件的標題為:"Returned Response"(譯文:反饋信息),附屬檔案是病毒本身。
當病毒運行時會提示:“This will install Microsoft Security Update Do you wish to continue?”(譯文:將安裝微軟安全補丁,你希望繼續嗎?),如果用戶選擇“是”,則會出現一個安裝進度條,當安裝後還會提示已經安裝成功,讓用戶以為是真正的補丁程式,其實這時候病毒已經運行。
病毒運行後會將自己拷貝到系統目錄,然後將隱藏於記憶體之中伺機進行感染,並且關聯後綴為:BAT、COM、EXE、PIF、REG等類型的的檔案,當用戶運行這類檔案時,病毒便會顯示一個出錯框,其實這時病毒已經開始搜尋硬碟中的有效郵件地址了。
此外,病毒還會通過mIRC軟體進行傳播,幹掉幾十家反病毒軟體與防火牆,使用戶電腦的安全防護失效。最近發現的“藍盒子(Worm.Lehs)”、“V寶貝(Win32.Worm.BabyV)”病毒和今天的“斯文(Worm.Swen)”,都是將自己偽裝成微軟公司的補丁程式來進行傳播的,據反病毒專家分析,在衝擊波病毒以後,出現了許多以打補丁為內容的郵件病毒,請廣大用戶提高辨別能力,最好使用專業的防毒軟體來預防這些病毒。

相關詞條

熱門詞條

聯絡我們