北京信息安全测评中心、金山毒霸
联合发布2004年03月08日热门病毒
据金山毒霸反病毒实验室介绍,今日提醒用户注意以下病毒: “西莉”(Worm.Silly.a),蠕虫病毒。该蠕虫病毒感染系统后,并向地址簿中的联系人发送带有病毒附件的邮件,并将系统信息向外发送,可能造成用户的间接经济损失,并使系统性能下降或极不稳定,还会造成网络堵塞。以下是该病毒的详情:
病毒信息:
病毒名称: Worm.Silly.a
中文名称: 西莉
威胁级别: 1B
病毒别名:
I-Worm.Silly.a [AVP]
I-Worm.Silly.E [瑞星]
病毒类型: 蠕虫
受影响系统: Win9x/Win2000/WinXP/Windows Server 2003
技术特点:
· 自我复制到WINDOWS安装目录,命名为:%WinDir%\MSDOSTRAY.COM
·添加以下键值
KaV3000XP = "%WinDir%\ MsDoSTray.com "
到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
使病毒可随机自启动
·病毒会使用以下文件命在系统中的A、C、D、E盘中释放病毒复本:
EXPLORER.EXE
DOCUMENT.EXE
WINDOWS.EXE
·病毒会给“地址簿” 中的联系人发送带毒的邮件
·利用邮件传播,可自我复制到软盘中,使用以下文件名:
EXPLORER.EXE
DOCUMENT.EXE
WINDOWS.EXE
·修改以下注册表键值,使系统隐藏系统文件和有隐含属性的文件,这包含病毒自身复制的复本:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ExplorerAdvance
Hidden = 0
·病毒在WinNT、Win2000、WinXP系统上运行时会显示以下伪装的信息:
Warning
This Folder Has Been Damage!
·病毒还会尝试隐藏EXE文件的后缀名,而病毒的复本会显示成为一个文件夹的图标,以欺骗用户运行。
解决方案:
·请使用金山毒霸2004年03月08日的病毒库可完全处理该病毒;
·请不要轻易点击陌生人的邮件以及下载和运行其所带附件,在运行可疑附件前最好先用毒霸扫描;
·手工解决方案:
首先,对于WinMe和Windows XP系统,请先关闭“系统还原功能”;
对于系统是Win9x/WinMe
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到WINDOWS安装目录(默认的WINDOWS安装为C:\windows或C:\Winnt),分别输入以下命令,以便删除病毒程序:
C:\windows\>del
MsDoSTray.com
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器:
点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中,
双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,
找到并删除如下项目:
KaV3000XP
= "%WinDir%\ MsDoSTray.com "
关闭注册表编辑器.
对于系统是Windows
NT,Windows2000,Windows XP,Windows 2003 sever
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“MsDoSTray.com”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入WINDOWS安装目录(Winnt或windows),找到文件“MsDoSTray.com”,将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器:
点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中,
双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,
找到并删除如下项目:
KaV3000XP
= "%WinDir%\ MsDoSTray.com "
关闭注册表编辑器. |
告诉您的位置:
