常见邮件病毒的症状和解毒方法(1)
余杰 　2001-05-09 09:58:40

　　
　　国际计算机安全权威机构发布最新病毒公告称, 发现了一种新型的名为“W97M/Melissa”的宏病毒（美丽杀手）, 该病毒能传染Word 97 和Word 2000。第一天便有 60000 台以上机器被感染，短短的一个星期，互联网便经历了一场罕见的“电子邮件病毒”的风暴！“电子邮件病毒”真这么厉害吗？有没有方法可以解毒呢？下面让我们来看看这些病毒的发作症状及解毒方法。看完后，你就可以对“它们”说“不”。

　　美丽杀手
　　根据KILL98反病毒技术人员对W97M/Melissa病毒进行的分析，确定该病毒传染的对象是Word 97 和Word 2000文件。当用户打开已感染有该病毒的文件时，美丽杀手便传染用户系统, 同时，病毒通过用户收发带毒的电子邮件互相传染，而且传染方式非常隐蔽。 美丽杀手病毒的具体表现症状是：
　　1.当用户打开的文件感染有该病毒时，病毒首先检查注册表中是否有美丽杀手的注册信息,若有则表明系统已被传染，否则，在注册表中创建一条注册项如下：
　　HKEY_CURRENT_USERSoftwareMicrosoftOffice“Melissa?” = “... by Kwyjibo”
　　2.利用Visual Basic 指令建立一个OutLook对象, 从OutLook的全域地址表中获取成员地址信息, 将下列信息以电子邮件方式, 自动发送到地址表中的前50 个邮箱(一次发送50封邮件)。其中：
　　邮件主题为:“Important Message From －”
　　正文为:“Here is that document you asked for ... don’t show anyone else ;－)”。之后，病毒将已感染有该病毒的文件作为附件发送出去。目前较为流行的一种附件的文件名为“list.DOC”（注意附件的文件名并不只有这一种）。
　　3.当用户接收到带毒的邮件并打开时, 用户的Word 系统中所有打开的文件将被传染。当机器时钟的时间数值与日期的数值相同时，如4月27号的4点27分，病毒将打开一个被传染的文件,在当前的光标位置插入下列信息：“Twenty－two points, plus triple－word－score, plus fifty points for using all my letters. Game’s over. I’m outta here.”
　　4.值得注意的是美丽杀手在传染Word 2000时, 首先从注册表中检查其安全保护级别,如果注册表中HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0WordSecurity“Level”的值不为0，将禁用菜单中的“MACRO/SECURITY”选项。如果用户使用的系统是Word 97，则禁用菜单中“TOOLS/MACRO”选项。

　　“怕怕”病毒
　　美丽杀手病毒余威尚存，作为美丽杀手病毒的发现者，Network Associates 公司又发现了一种与它类似但危害更大的电子邮件病毒Copycat。这种被昵称为“Papa”（怕怕） 的新病毒是一种Excel 病毒，跟Melissa 一样，它可以自动复制自己并发送给用户地址簿中的前60个人。此外，Papa 每次被激活时都向外发送电子邮件，而Melissa 只在第一次被激活时才发送邮件。Papa也向IP地址为207.222.214.225或者24.1.84.100的服务器随机发出“拒绝服务类型的攻击”。

|下一页||尾　页|