「愛麗茲」病毒檢視原始碼討論檢視歷史
| 愛麗茲」病毒 |
愛麗茲是流行的蠕蟲病毒的一個變種,但是與以往的蠕蟲病毒不同的是它的體積更小(不足4K)、手段更高明(不用打開郵件即發作),
讓用戶在不知不覺中中毒,從而給用戶和網絡系統造成危害。病毒介紹:這個病毒又是利用微軟IE漏洞來進行侵害,歐洲、日本、
及中國已經傳出災情。遭受感染的系統,會利用IE里的通訊簿,再度寄發大量郵件,造成企業郵件服務器被阻塞,
以及用戶的系統資源被大量占用,造成死機。該病毒體積極小,只有不足4K,用戶一般不以察覺,再加上它不需用戶打開郵件即可發作,所以用戶需格外注意。
中文名「愛麗茲」病毒
性 質蠕蟲病毒的一個變種
特 點體積更小發作的情況很象Nimda
發作現象
該病毒的發作的情況很象Nimda,它又是利用了IE的一個安全漏洞-----IE的預覽功能,當閱讀或預覽該郵件時,該病毒就會被自動執行。
它遍歷OutLook的地址薄,對所有地址發信。不過該病毒不駐留在系統中,不傳染磁盤上的文件。沒有表現模塊。所以用戶只需將其查殺或關機後重啟計算機即可清除。
該病毒有點象Nimda,它利用了IE的一個安全漏洞-----IE的預覽功能,當閱讀或預覽該郵件時,該病毒就會被自動執行。它遍歷OutLook的地址薄,對所有地址發信,內容如下:
標題:(由5個字符串組合而成) str1 str2 str3 str4 str5 str6 str7 str8-------------- ------------- -------------------- ------------------ Fw: Cool website to check 。
! Fw: Re: Nice site for you ! then: Hot pics i found :-) some urls to see ?! Funny pictures here hehe ;-) weird stuff - check it funky mp3s great shit Interesting music many info
正文:peace
附件:whatever.exe
該病毒不駐留在系統中,不傳染磁盤上的文件。沒有表現模塊。病毒體內有以下內容:
- iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i realize this text got added on many av description sites, because this silly worm could
be easily a hype. i wonder which av claims '[companyname] stopped high risk worm before it could escape!' or
shit like that. heh, or they boycot my virus because of this text. well, it is easy enough for the poor av's to
add this worm; since it was only released as source in coderz#2... btw, loveletter*2 power in pure win32asm and only a
4k exe file. heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx,
t-2000!ir, ultras!mtx & sweet gigabyte...btw,burgemeester van sneek: ik zoek nog een baantje...(alignmentfillingtext)
解決方案
Win32/Aliz「愛麗茲」病毒是一個通過SMTP引擎來發送帶病毒郵件的病毒,使用匯編語言編寫,並壓縮過。該網絡蠕蟲傳播的病毒附件大小約是4096字節。文件名稱是:whatever.exe。
含有病毒郵件的主題是隨機的,是由以下的五部分中的任意選擇一個形成的,因此需要用戶在收到類似的信件時特別注意。這5部分分別是:
(1) Fw: 和 Fw: Re: (2種)
(2)Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many(10種)
(3)website、site、pics、urls、pictures、stuff、mp3s、shit、music、info(10種);
(4)to check、for you、i found、to see、here、- check it(6種);
(5)!!、!、:-)、?!、hehe ;-) (5種)
從以上的分析可以看出,郵件的主題可能有6000種之多,舉一個例子是:
Fw: Cool website to check !!.
傳播病毒的郵件地址是從以下的註冊表鍵值來獲得:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name,典型的默認值是:
C:\WINDOWS\Application Data\Microsoft\Address Book\默認.wab。
發送至SMTP服務器的通過查找註冊表鍵獲得:
\HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001查找其中的SMTPServer的數值來確定的,而郵件的正文只有一個單詞:peace (和平)。
病毒的清除
1、如果用戶的硬盤分區是WIN98、WINDOWS NT4、WINDOWS 2000、WINDOWS XP的NTFS格式,請用戶安裝KVW3000 5.0以上版本,
該版本可在任何WINDOWS系統下查殺內存和被WINDOWS已經調用的染毒文件,可在系統染毒的情況下殺除病毒。
2、如果用戶硬盤裝的操作系統是WINDOWS 98之前版本,也可使用乾淨DOS軟盤啟動機器。
3、執行KVD3000.EXE或KV3000.EXE,查殺所有硬盤中的病毒。
4、為了預防該病毒在瀏覽該帶毒信箋可以自動執行的特點,必須下載微軟的補丁程序。
5、WINDOWS 2000如果不需要可執行的CGI,可以刪除可執行虛擬目錄,例如:/scripts等等。
6、如果確實需要可執行的虛擬目錄,建議可執行虛擬目錄單獨在一個分區。
7、開啟KVW3000實時監測病毒防火牆。
8、再將郵箱中的帶毒郵件一一刪除,否則又會重複感染。[1]