计算机反病毒每周预报[10.19―10.25]

一斛酒

病毒名称：Worm_Zezer
　　病毒种类：蠕虫
　　感染系统：Windows 95/98/Me/NT/2000/XP
　　病毒特性：
　　
　　病毒使用Visual Basic 6编写，并使用UPX压缩。病毒慌称MSN的补丁安装程序，并以微软的名义发送电子邮件，以诱骗用户打开附件，感染病毒。病毒具有如下特征。
　　
　　1、 生成多个病毒副本到系统中
　　 %Windows%Mscsgs.exe（%Windows%通常为C:Windows或C:Winnt）
　　%System%Mscsgs32.exe（%System%在Windows 9x/Me下为C:WindowsSystem，在Windows NT/2000下为 C:WINNTSystem32，在Windows XP下为 C:WindowsSystem32）
　　%startup%msnexec.exe（%startup%为系统的启动目录）
　　
　　2、修改注册表 添加启动项，使得病毒文件能随系统启动而自动运行
　　在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加
　　Mscsgs="%WindowsRoot%Mscsgs.exe"
　　在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加
　　 "Mscsgs32"="%SYSTEM%MSCSGS32.EXE "
　　
　　3、发送病毒电子邮件 病毒邮件慌称微软发布了一个与MSN有关的漏洞补丁，让MSN的用户取下载补丁程序。病毒会获取MSN中联络人的邮件地址，并向这些地址发送带毒的电子邮件。邮件格式如下：
　　
　　发信人：（为下列之一）
　　winpatch@microsoft.com
　　services@microsoft.com
　　msnsupport@microsoft.com
　　helpdesk@microsoft.com
　　security@microsoft.com
　　windowsupdate@microsoft.com
　　run = "WINhelp32.exe"
　　
　　主题：（为下列之一）
　　Windows Update
　　MSN Messenger Update
　　MSN Messenger vulnerability
　　
　　附件：Msn_inst.exe
　　
　　内容："Attention All Microsoft Users： A patch has been issued to correct a vulnerability in MSN Messenger which can be performed by a malicious user in order to gain unauthorized access to compromised computers. Windows users who have MSN Messenger 4.x and higher versions are affected by this vulnerability and must download and install the patch labeled , which is attached to this email message. For any support regarding this patch please contact support@microsoft.com for more information."
　　
　　4、病毒会关闭多家反病毒软件和防火墙，使计算机失去基本的防护。
　　
　　5、病毒还会窃取存储于系统中的帐号及密码


　　清除病毒的相关操作
　　
　　1、终止病毒进程
　　在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE
　　在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC
　　选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。
　　
　　2、注册表的恢复
　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，并删除面板右侧的"Mscsgs"="%WINDOWS%MSCSGS.EXE"。
　　再依次双击左侧的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices ，找到并删除面板右侧的"Mscsgs32"="%SYSTEM%MSCSGS32.EXE "
　　
　　3、删除病毒文件 点击"开始--〉查找--〉文件和文件夹"，查找"Mscsgs.exe"、"Mscsgs32.exe" 、"msnexec.exe"，并将找到的文件删除。
　　
　　4、运行杀毒软件对系统进行全面的病毒查杀
　　
　　本周发作：
　　病毒名称：WM_TWNO.D
　　病毒类型：宏病毒
　　发作日期：10月25日
　　危害程度：病毒会改变Word的工具条，同时向用户提出问题,并根据回答删除COS*.*，C:WINDOWS*.INI。
　　
　　专家提醒：
　　
　　1、计算机出现故障或不明文件，不要贸然删除文件或进行格式化，应先用最新版本的杀毒软件对计算机进行全面扫描。
　　
　　2、若硬盘数据已遭到破坏, 不要急着进行格式化，因为绝大多数病毒不可能在短时间内将硬盘数据全数破坏, 应加以分析, 并及时进行恢复。
　　
　　3、不要轻易登录不明网站，一些不正规的网站缺少必要的安全措施和管理，比较容易被病毒感染，成为病毒传播的又一途径。

麻雀东南飞

已阅!