中华网--科技频道--网络教室

在线聊天当心“萨利姆”宏病毒
孙燕庚　2001-02-22 09:53:58

　　最近一个通过映射驱动器和在线聊天系统传播的“萨利姆”（ W97M/Salim.A）病毒被冠群金辰的全球病毒监测网发现，据了解W97M/Salim.A 是一个宏病毒和通过在线聊天系统传播的蠕虫，除了在ThisDocument模块中写入病毒代码外，它也在传播过程中截取文档内容。

　　“萨利姆”蠕虫依靠文档事件处理程序来运行，当一个已感染的文档被打开时，宏病毒就被激活，当染毒文档被关闭时，病毒的Document_Close宏将开始运行。与其它宏病毒不同，它并不使‘宏病毒保护选项‘失效，因此宏报警仍将显示。它在通用模板中执行一个‘am I here‘的检查，比较它的ThisDocument中第一行代码是否匹配‘PIJAVICA；如果不匹配，所有在通用模板的ThisDocument对象中的原代码将被删除，病毒的原代码将从目前文档插入目标对象。

　　之后，“萨利姆”病毒将尝试感染当前被Word打开的所有文档。然而，这种尝试将由于一个错误而失败。病毒将在C盘根目录生成文件Salim_se.doc和Win32Drv.doc，这两个文件是带有宏病毒代码的激活文档的两个复制文件。这两个文件含有激活文档的内容，能将敏感信息暴露给不被期望的浏览者。Salim_se.doc的一个副本也会在每个映射驱动器生成。

　　如果在一个已感染的系统中存在目录"C:MIRC"，Script.ini文件将被创造或被覆盖，以使C:Salim_se.doc能通过在线聊天系统送出。最后，Salim.A病毒将检查日期，如果是任意月的5号，它将在C盘根目录生产一个文本文件和一个批处理文件，并显示如下文本：

　　
　　冠群金辰有关技术专家提建议用户选择使用经过国际多家权威机构认证具备完善实时反病毒、查杀多种压缩文件功能的反病毒软件。KILL系列防病毒产品的用户应及时到www.kill.com.cn下载最新病毒特征库以保护自己的计算机；或到KILL授权服务中心拷贝最新升级文件。KILL19.05版本已经可以检测并清除该病毒。

推荐给朋友

进入BBS

进入聊天室

关闭窗口

﹣相关报道
﹣病毒报告：通过聊天室(IRC)传播的PIF_IBLIS.A (2001-01-11 09:51:14) ﹣病毒报告：通过聊天室传播的VBS_TTFLOADER.A (2000-12-28 11:26:37)


﹣更多本栏目内容
??Windows 2000系统安全设置攻略 ??Dreamweaver编写CSS需要掌握的技巧 ??使用Flash MX过程中的3个小技巧 ??拖IE9网站图标到Win7任务栏精彩好礼任你拿 ??从此不再耗流量？Google离线地图试用 ??给瑞星添加移动存储自动杀毒功能 ??一周壁纸榜单靓丽风景伴您欢度周末 ??金山网络七款软件齐升级炫丽界面贺新春 ??提升网站流量和权重百度热榜排第一 ☉预警：电商促销引钓鱼七夕网购需谨慎

本站检索

网络教室编辑信箱