常见邮件病毒的症状和解毒方法(1)
余杰 2001-05-09 09:58:40
国际计算机安全权威机构发布最新病毒公告称, 发现了一种新型的名为“W97M/Melissa”的宏病毒(美丽杀手), 该病毒能传染Word 97 和Word 2000。第一天便有 60000 台以上机器被感染,短短的一个星期,互联网便经历了一场罕见的“电子邮件病毒”的风暴!“电子邮件病毒”真这么厉害吗?有没有方法可以解毒呢?下面让我们来看看这些病毒的发作症状及解毒方法。看完后,你就可以对“它们”说“不”。
美丽杀手 根据KILL98反病毒技术人员对W97M/Melissa病毒进行的分析,确定该病毒传染的对象是Word 97 和Word 2000文件。当用户打开已感染有该病毒的文件时,美丽杀手便传染用户系统, 同时,病毒通过用户收发带毒的电子邮件互相传染,而且传染方式非常隐蔽。 美丽杀手病毒的具体表现症状是: 1.当用户打开的文件感染有该病毒时,病毒首先检查注册表中是否有美丽杀手的注册信息,若有则表明系统已被传染,否则,在注册表中创建一条注册项如下: HKEY_CURRENT_USERSoftwareMicrosoftOffice“Melissa?” = “... by Kwyjibo” 2.利用Visual Basic 指令建立一个OutLook对象, 从OutLook的全域地址表中获取成员地址信息, 将下列信息以电子邮件方式, 自动发送到地址表中的前50 个邮箱(一次发送50封邮件)。其中: 邮件主题为:“Important Message From -” 正文为:“Here is that document you asked for ... don’t show anyone else ;-)”。之后,病毒将已感染有该病毒的文件作为附件发送出去。目前较为流行的一种附件的文件名为“list.DOC”(注意附件的文件名并不只有这一种)。 3.当用户接收到带毒的邮件并打开时, 用户的Word 系统中所有打开的文件将被传染。当机器时钟的时间数值与日期的数值相同时,如4月27号的4点27分,病毒将打开一个被传染的文件,在当前的光标位置插入下列信息:“Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here.” 4.值得注意的是美丽杀手在传染Word 2000时, 首先从注册表中检查其安全保护级别,如果注册表中HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0WordSecurity“Level”的值不为0,将禁用菜单中的“MACRO/SECURITY”选项。如果用户使用的系统是Word 97,则禁用菜单中“TOOLS/MACRO”选项。
“怕怕”病毒 美丽杀手病毒余威尚存,作为美丽杀手病毒的发现者,Network Associates 公司又发现了一种与它类似但危害更大的电子邮件病毒Copycat。这种被昵称为“Papa”(怕怕) 的新病毒是一种Excel 病毒,跟Melissa 一样,它可以自动复制自己并发送给用户地址簿中的前60个人。此外,Papa 每次被激活时都向外发送电子邮件,而Melissa 只在第一次被激活时才发送邮件。Papa也向IP地址为207.222.214.225或者24.1.84.100的服务器随机发出“拒绝服务类型的攻击”。
|下一页||尾 页|
|