基本介紹
- 中文名:笑哈哈病毒
- 外文名:Worm.Shoho.110592
- 類別:計算機病毒
- 別名:Welyah
特徵,預防,特徵,辦法,報導,
特徵
病毒名叫Worm.Shoho.110592,又名Welyah,在某些作業系統中,只要受感染郵件被預覽或打開,系統即會中毒。它會像Sircam病毒一樣利用自身的SMTP引擎向地址簿中的所有收件人傳送郵件。並且該病毒還會刪除一些Windows檔案,以致在系統重啟時導致常規性保護錯誤。
預防
接收電子賀卡時,應採取一些防範措施,以避免收到帶有病毒的檔案。當收到電子郵件後,打開附屬檔案之前,先查看寄信者是否為熟識之人,或者確定自己的電腦是否安裝有相應的防病毒軟體。對於那些存有惡性Java及ActiveX程式的惡意網站,目前新版的防毒軟體大都增加了防止惡性Java及Active X程式入侵的功能,因此,擁有這些新版防毒軟體的電腦可避免這樣的傳染途徑。是經過使用者的瀏覽器感染的,因此,未具備有這類型防毒功能的電腦,一旦接收到這些搗蛋程式,可直接將瀏覽器關掉,並將此網站列為拒絕往來戶,或者在瀏覽網站之前便關掉瀏覽器上下載Java或ActiveX檔案的功能,即可防止搗蛋程式的干擾。
特徵
笑哈哈病毒 - 病毒特徵 如果收到一封電子郵件,附屬檔案不是令人生疑的EXE檔案,卻是文本檔案(.txt),請注意了,說不定這就是一封病毒郵件。
Shoho蠕蟲病毒以郵件的形式進行傳播,其主題為:"Welcome to Yahoo! Mail."
郵件正文為
This messages a character set that is not supported by the Internet Service. To view the original message content, open the attached message. If the text doesn’t display correctly, save the attachment to disk, and then open it using a viewer that can display the original character set. |
附屬檔案為readme.txt,其實這只是用於迷惑人的幌子,此檔案是一個進行了偽裝的含有惡意代碼的EXE執行檔。該附屬檔案一旦被打開,Shoho蠕蟲就會在Windows目錄下生成Winl0g0n.exe,並修改註冊表,以致在每次啟動Windows時病毒都會自動運行。
辦法
笑哈哈病毒 - 解決方法 1. 點擊“開始->運行”,輸入Regedit命令,修改註冊表檔案。
2. 打開HKEY_LOCAL_MACHINE>Software>Microsoft >Windows>CurrentVersion>Run,將WINL0G0N.EXE = "%windows%\WINL0G0N.EXE刪除 。
3. 打開HKEY_CURRENT_USER>Software>Microsoft >Windows>CurrentVersion>Run,將WINL0G0N.EXE = "%windows%\WINL0G0N.EXE"刪除。
4. 打開HKEY_USER>.Default>Software>Microsoft >Windows>CurrentVersion>Run將,WINL0G0N.EXE = "%windows%\WINL0G0N.EXE"刪除。
報導
“笑哈哈”病毒笑裡藏刀
別以為精彩圖片都是給你的節日問候,它很有可能是一種偽裝的計算機病毒。一種名為“笑哈哈”的新病毒最近已傳到國內,為此,防毒公司昨天特別提醒計算機用戶注意防範。
金山公司珠海反病毒應急處理中心提供的信息說,此病毒名叫Worm.Shoho.110592,別名w32.Shoho.a@MM,或w32/Welyah.A@mm。在某些作業系統中,只要受感染郵件被預覽或打開,系統即會中毒。它能利用IE瀏覽器的一個弱點,向地址簿中的信箱反覆傳送自身,造成信箱堵塞。它還能刪除一些Windows目錄下的檔案,造成啟動困難。與其他電子郵件病毒一個最大的特點是,它容易造成一些反病毒軟體無法監控帶有病毒郵件的大量外發。
該病毒2001年12月20日首先出現在亞洲,隨後向歐美傳播,已在台灣等地區引起了較大規模的疫情。
笑哈哈(Shoho)病毒能添加、刪除計算機上的檔案
據反病毒廠商Network Associates和Trend Micro二家公司稱,一種被稱作Shoho或Welyah的病毒正在網際網路上蔓延,與其他電子郵件型病毒不同的是,它通過自己的電子郵件引擎而不是微軟的Outlook電子郵件客戶端程式進行傳播,它還能夠刪除被感染的計算機上的檔案。
Shoho能夠利用Badtrans病毒利用的IE中的一個安全漏洞,無須打開其中的附屬檔案,用戶只要打開或對郵件進行預覽,病毒就會執行。只要雙擊其中的電子郵件附屬檔案,即使用戶使用的不是Outlook電子郵件客戶端程式,也會受到Shoho病毒的感染。
Trend Micro公司稱,攜帶Shoho病毒的電子郵件的主題為“Welcome to Yahoo! Mail,”,郵件的內容與主題相同。郵件的附屬檔案為一個名字為Readme.txt的檔案,該檔案其實是一個.PIF檔案,.TXT和.PIF之間插有125個空格,向用戶隱瞞檔案真正的後綴。Network Associates公司稱Readme.txt是一個.EXE而非.PIF檔案。
笑哈哈病毒
據Trend Micro公司表示,當用戶雙擊附屬檔案或打開、預覽帶毒的電子郵件時,Shoho病毒就會使用它自己攜帶的SMTP引擎向Outlook地址簿中的所有地址傳送它本身。Network Associates公司則表示,在傳送它本身前,Shoho病毒會掃描被感染計算機的硬碟,查找電子郵件地址,並將它們存儲在一個名字為EmailInfo.txt的檔案中。
一旦Shoho病毒被激活,它將在被感染的計算機上添加大約6個檔案,並刪除數十個其他檔案,使計算機崩潰或以後不能正常地啟動。Shoho病毒只感染運行Windows的PC機。
儘管二家公司都認為這一病毒的危害不是太大,但由於它能夠刪除系統中的一些檔案,還是值得用戶引起足夠的注意。
