|
射线(Worm.Rays),蠕虫病毒。病毒感染系统后,随机自启动,通过局域网共享高速传播,发送带毒邮件,该病毒影响系统性能,并会严重阻塞网络。以下是该病毒的详情: X0 A% X# r0 z% M
4 B" ?+ u( H+ j. K$ r* n 病毒名称:Worm.Rays
$ h# B7 Z# b E! `中文名称:射线威胁级别:3C % \+ @6 C/ a0 Y& X& C6 @
病毒类型: 蠕虫受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003 ( B' Q7 F- o5 e4 s+ ~$ Q4 a) {1 ~
4 ?+ {5 R" t1 p: V
, I. M( r. M0 A2 W6 Z+ t9 K9 H1 a% i0 g3 {
A、 通过网络发送邮件;
( g" U6 j: _+ A
. F- ~1 ~$ ] e B、 通过局域网共享高速传播;
( A% d) {' I6 |( V: }; |- e0 a% d: X# c2 E+ _1 G8 H
C、 拷贝其本身至系统安装目录:%SystemRoot%\Mstray.exe %SystemRoot%\MShelp.EXE并且,该病毒用"文件夹"的图片来伪装成文件夹,诱骗用户点击;+ s {6 n) p% ^
/ J5 I# Q0 \; E9 R* Y/ K
D、 该病毒会监视活动窗口,如果某个窗口移到了最前,该病毒就会根据窗口主题的内容来创建一个它的拷贝,并保存在新的位置;然后,它会运行这个新的拷贝,退出并删除旧的拷贝;/ E# J( V6 y4 i/ C# y7 S0 ?
' E) F, A( [- i5 e E、 在注册表主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加如下键值:"RavTimeXP"= <该蠕虫当前使用的文件名>"RavTimXP"= <该蠕虫最后使用的文件名>在注册表主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup下添加如下键值:"RavTimXP"修改注册表主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState下的键值为:"fullpath" = 0x1修改注册表主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下的键值为:"HideFileExt" = 0x1"Hidden" = 0x0% i( U& h9 `3 v9 S( v/ x
% a2 N9 J; X( Y! O1 G
F、 向Outlook地址簿中的Email发送包含其本身的邮件,邮件具有如下特点:主题:MS?DOS????(问号代表中文字符)附件:MShelp.EXE正文:<中文字符>
+ J, c4 k' v* i8 i. y : c# _: x$ `/ g0 `1 C# n
3 c5 n" H5 h4 s! o4 R8 B1 l( O 解决方案: ) U; T9 |) `5 l0 f U- e( i
- w: O) ^; X' n/ X; b
A、金山毒霸已经于4月10日对该病毒进行了处理,请升级最新版可完全查该病毒;
" L) w5 [1 \4 x) f- L+ D+ [% \) G3 @
B、在收取邮件和在线聊天时不要轻易打开陌生人传来的文件,如果有必要打开,请使用最新病毒 库的反病毒软件检测后再打开;在没有升级IE最新补丁的情况下,不要轻易点击好友发来的网 址;6 q1 y! `& g% i5 s. ]1 h5 k
+ A F; {: S. N/ S* _
C、该病毒不易手工清除,会造成清除不干净的现象,请升级毒霸到2004年4月10日的病毒库可处理 该病毒。如没有安装金山毒霸,可以登录http://online.kingsoft.net使用金山毒霸在线杀毒或 是金山毒霸下载版来防止该病毒的入侵。 |
|