继尼姆达后 又一新蠕虫危险之至
　 2001-09-25 15:00:05

　　周一，一种新型蠕虫在美国出现。这一蠕虫名为W32.Vote或WTC.exe，一旦人们打开它，它会清除所有PC系统文件，并覆写所有HTML文件，替换为用心险恶的消息“AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It‘s Our Turn >>> ZaCkEr is So Sorry For You.”
　　
　　防病毒公司趋势的发言人Susan Orbuch说：“"它非常危险，希望人
　　们不要受到感染。”然而不幸的是，已有一些PC用户感染了此种病毒，安全软件公司赛门铁克及Network Associates已收到了众多受W32.Vote感染的报告。Network Associates防病毒紧急反应小组主任Vincent Gullotto说：“我们已取得一些抽样。”
　　
　　上周，FBI曾警告说，公众应当小心病毒作者会利用人们对近期恐怖事件袭击的兴趣展开恶意攻击。W32.Vote明显是首个此类流行开来的病毒。W32.Vote表面看来是一封很有同情心的邮件。受感染的电子邮件标题为“Fwd: Peace BeTween AmeriCa And IsLam !”，邮件正文为“Hi! iS iT A waR Against AmeriCa Or IsLam! Let‘s Vote To Live in Peace!”。如果使用Microsoft Windows 95、98、Me或2000PC用户打开附件“wtc.exeIf”，这种蠕虫将会被执行。
　　
　　当它被激活后，蠕虫会首先尝试将自己发送给微软Outlook地址簿的每个地址上。然后，蠕虫会在计算机上保存两个Visual Basic程序文件：MixDaLaL.vbs和ZaCker.vbs。蠕虫还会试图下载并运行可以为入侵者利用的后门程序。然后，蠕虫会从Windows System文件夹中执行MixDaLaL.vbs，MixDaLaL.vbs扫描硬盘找到所有扩展名为.htm和.html的文件。当文件找到后，蠕虫会用以上的恶意消息覆写它们。
　　
　　蠕虫的另一个组件ZaCker.vbs则会在计算机重新启动后运行。脚本会试图删除所有Windows目录下的文件，并使用格式主硬盘时用来启动计算机的命令覆写它们。因为必要的系统文件被破坏，最后的攻击将会失败，但是其它的攻击足以导致PC无法重新启动。在最后一次关闭前，蠕虫会显示如下信息：“I promises We WiLL Rule The Wold Again...By The Way,You Are Captured By ZaCker !!!”尽管蠕虫会导致受感染PC用户重新安装操作系统，Network Associates的Gullotto说，大多数企业仍然是安全的。(吉纳)
　　
　　“尼姆达”病毒简介及清除方法