Virus 版 (精华区)

发信人: mylife (小鬼), 信区: Virus
标  题: 络蠕虫程序I-WORM.AnnaKournikova的清除
发信站: 哈工大紫丁香 (2001年05月30日16:21:11 星期三), 站内信件

网络蠕虫程序I-WORM.AnnaKournikova的清除
　　I-WORM.AnnaKournikova是一个网络蠕虫程序，它使用了一个病毒制造程序VBSWG制
造并加密。
　　该蠕虫程序发送的邮件的附件是：
　　AnnaKournikova.jpg.vbs（俄罗斯体育选手的名称命名的文件名称），它是一个VB
S程序文件。当邮件用户不小心执行了该附件，那么该网络蠕虫程序会给OUTLOOK地址薄
里的所有人发送一份该网络蠕虫程序，邮件的附件文件名称：
　　AnnaKournikova.jpg.vbs（俄罗斯网球女明星的图片文件）该网络蠕虫程序的长度
是2853字节左右。
　　邮件的主题是：Here you have, ;o) （这是您要的）。
　　邮件的主体是：Hi:Check This! ( 喂，检查以下我给您的附件)，附件的文件大小
：2853字节
　　（用户应该立即删除类似的邮件，以避免该网络蠕虫程序的感染破坏，请注意这些
邮件的主题、主体都是可以变化的，请用户注意留意邮件的附件。）
　　该网络蠕虫程序的技术细节：
　　该网络蠕虫程序在被运行后会修改系统的注册表,在系统的注册表中增加表项目：
　　HKEY_CURRENT_USER\Software\OnTheFly，并将其值设置成：Worm made with Vbsw
g 1.50b, 将该网络蠕虫程序拷贝一份到WINDOWS目录下，以文件名AnnaKournikova.jpg
.vbs的形式存在。
　　如果机器的日期是1月26日的话，该网络蠕虫程序会自动将您指向一个位于荷兰的计
算机商店的网络地址。
　　该网络蠕虫还会通过检查系统注册表来确定它是否已经将OUTLOOK地址薄中的所有的
用户发送完毕该网络蠕虫程序，这样做的目的是防止该网络程序一遍一遍的重新发送而
使计算机出现不正常情况（以前的的螺旋网络蠕虫程序等其他程序会不断启动发送邮件
进程而使用户的计算机无法正常发送邮件）。
　　该网络蠕虫程序检查的注册表的项目是：
　　HKEY_CURRENT_USER\Software\OnTheFly\mailed。
　　当该项目的数值是1时，表示该网络蠕虫程序已经给所有地址薄里的所有人发送了一
遍，为0则表示该蠕虫程序还没有发送，因此该网络蠕虫程序就会启动自动发送邮件程序
，给OUTLOOK地址薄里的所有用户发送一份该蠕虫程序本身。
　　当您试图删除该网络蠕虫程序时，该网络蠕虫程序会试图重建立自身。当然该程序
设计并不完善，自动重新建立的文件的字节数是0。
　　该网络蠕虫能传播的基本条件是计算机上的VBS（Visual Basic Script）必须安装
才能运行，如果用户将VBS功能设置成不运行，那么该网络程序也就不会造成破坏和传播
了。有关VBS的安装和使用在"安全使用计算机"一文中有详细的介绍。
　　单从该网络蠕虫程序给所有地址薄里的所有用户发送网络蠕虫程序来看，它和轰动
一时的"爱虫程序"有相似之处。请所有的KV3000的用户升级到KV3000的最新版本F+来查
杀该网络蠕虫程序；到江民公司的KV3000升级网络上智能升级到1月22日后的KVW3000（
KVD3000）的最新版本来实时监测、保护您的邮件系统不受该网络蠕虫程序的感染。
　　使用KV3000来清除该病毒的方法是:
　　使用干净的系统软盘启动计算机，使用KV3000来删除所有查出名称是：I_worm.Ann
aKournikova或Lee.o的程序，同时将系统的注册表项目删除：应该删除的系统注册表项
目是该病毒增加的两个项目：
　　HKEY_CURRENT_USER\Software\OnTheFly;
　　HKEY_CURRENT_USER\Software\OnTheFly\mailed.

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]