基本介紹
- 中文名:“愛麗茲”病毒
- 性質:蠕蟲病毒的一個變種
- 特點:體積更小
- 發作的情況:很象Nimda
發作時間,發作現象,解決方案,病毒的清除,
發作時間
隨機
發作現象
該病毒的發作的情況很象Nimda,它又是利用了IE的一個安全漏洞-----IE的預覽功能,當閱讀或預覽該郵件時,該病毒就會被自動執行。它遍歷OutLook的地址薄,對所有地址發信。不過該病毒不駐留在系統中,不傳染磁碟上的檔案。沒有表現模組。所以用戶只需將其查殺或關機後重啟計算機即可清除。
該病毒有點象Nimda,它利用了IE的一個安全漏洞-----IE的預覽功能,當閱讀或預覽該郵件時,該病毒就會被自動執行。它遍歷OutLook的地址薄,對所有地址發信,內容如下:
標題:(由5個字元串組合而成)
str1 str2 str3 str4 str5 str6 str7 str8-------------- ------------- -------------------- ------------------ Fw: Cool website to check !! Fw: Re: Nice site for you ! then: Hot pics i found :-) some urls to see ?! Funny pictures here hehe ;-) weird stuff - check it funky mp3s great shit Interesting music many info
正文:peace
附屬檔案:whatever.exe
該病毒不駐留在系統中,不傳染磁碟上的檔案。沒有表現模組。病毒體內有以下內容:
:::iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i realize this text got added on many av description sites, because this silly worm could be easily a hype. i wonder which av claims '[companyname] stopped high risk worm before it could escape!' or shit like that. heh, or they boycot my virus because of this text. well, it is easy enough for the poor av's to add this worm; since it was only released as source in coderz#2... btw, loveletter*2 power in pure win32asm and only a 4k exe file. heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx & sweet gigabyte...btw,burgemeester van sneek: ik zoek nog een baantje...(alignmentfillingtext)
解決方案
Win32/Aliz“愛麗茲”病毒是一個通過SMTP引擎來傳送帶病毒郵件的病毒,使用彙編語言編寫,並壓縮過。該網路蠕蟲傳播的病毒附屬檔案大小約是4096位元組。檔案名稱稱是:whatever.exe。
含有病毒郵件的主題是隨機的,是由以下的五部分中的任意選擇一個形成的,因此需要用戶在收到類似的信件時特別注意。這5部分分別是:
(1) Fw: 和 Fw: Re: (2種)
(2)Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many(10種)
(3)website、site、pics、urls、pictures、stuff、mp3s、shit、music、info(10種);
(4)to check、for you、i found、to see、here、- check it(6種);
(5)!!、!、:-)、?!、hehe ;-) (5種)
從以上的分析可以看出,郵件的主題可能有6000種之多,舉一個例子是:
Fw: Cool website to check !!.
傳播病毒的郵件地址是從以下的註冊表鍵值來獲得:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name,典型的默認值是:
C:\WINDOWS\Application Data\Microsoft\Address Book\默認.wab。
傳送至SMTP伺服器的通過查找註冊表鍵獲得:
\HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001查找其中的SMTPServer的數值來確定的,而郵件的正文只有一個單詞:peace (和平)。
病毒的清除
1、如果用戶的硬碟分區是WIN98、WINDOWS NT4、WINDOWS 2000、WINDOWS XP的NTFS格式,請用戶安裝KVW3000 5.0以上版本,該版本可在任何WINDOWS系統下查殺記憶體和被WINDOWS已經調用的染毒檔案,可在系統染毒的情況下殺除病毒。
2、如果用戶硬碟裝的作業系統是WINDOWS 98之前版本,也可使用乾淨DOS軟碟啟動機器。
3、執行KVD3000.EXE或KV3000.EXE,查殺所有硬碟中的病毒。
4、為了預防該病毒在瀏覽該帶毒信箋可以自動執行的特點,必須下載微軟的補丁程式。
5、WINDOWS 2000如果不需要可執行的CGI,可以刪除可執行虛擬目錄,例如:/scripts等等。
6、如果確實需要可執行的虛擬目錄,建議可執行虛擬目錄單獨在一個分區。
7、開啟KVW3000實時監測病毒防火牆。
8、再將信箱中的帶毒郵件一一刪除,否則又會重複感染。