|
射线(Worm.Rays),蠕虫病毒。病毒感染系统后,随机自启动,通过局域网共享高速传播,发送带毒邮件,该病毒影响系统性能,并会严重阻塞网络。以下是该病毒的详情:
( ^2 L9 Q- i1 K$ a, @6 O" E8 ~4 z! T0 J1 Q- P9 m' f
病毒名称:Worm.Rays 0 e" ^$ r# K: a0 b) e, E
中文名称:射线威胁级别:3C
# z2 j% t! h$ t( g' H7 \- V, m病毒类型: 蠕虫受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003 0 D( `. t" C7 V2 o" g/ p
# d& y* A( Z7 ]: Y% W
, Q9 G, Z/ `4 ~: U" i) N& t' d2 M, o C. D5 X. E# Q+ \
A、 通过网络发送邮件;
6 s1 `. t6 R& L Q; k+ x4 F+ {7 R5 s6 q/ g+ e! G! N9 o m g
B、 通过局域网共享高速传播;
1 m* [6 p- ?8 X0 |& w/ l9 t, b. z
C、 拷贝其本身至系统安装目录:%SystemRoot%\Mstray.exe %SystemRoot%\MShelp.EXE并且,该病毒用"文件夹"的图片来伪装成文件夹,诱骗用户点击;9 G( x/ f& M% M6 T7 @9 i# n O% b
$ P9 \6 T4 C8 T& r X: w) G% F
D、 该病毒会监视活动窗口,如果某个窗口移到了最前,该病毒就会根据窗口主题的内容来创建一个它的拷贝,并保存在新的位置;然后,它会运行这个新的拷贝,退出并删除旧的拷贝;) |- g9 Z; u6 S( C& j' ]* a
2 P9 N6 R5 Q9 ^$ }) i( c E、 在注册表主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加如下键值:"RavTimeXP"= <该蠕虫当前使用的文件名>"RavTimXP"= <该蠕虫最后使用的文件名>在注册表主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup下添加如下键值:"RavTimXP"修改注册表主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState下的键值为:"fullpath" = 0x1修改注册表主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下的键值为:"HideFileExt" = 0x1"Hidden" = 0x07 I( ^% h6 Y9 U1 M& D" b( v4 T8 r
' V% i4 ], O) o
F、 向Outlook地址簿中的Email发送包含其本身的邮件,邮件具有如下特点:主题:MS?DOS????(问号代表中文字符)附件:MShelp.EXE正文:<中文字符>
$ V* `' g2 N8 \9 n, }, s + Z6 c' e; k: ]& o1 P
+ r" e- i2 \- U 解决方案:
% r. H" Q! |+ h- ]" k: L$ c) @; T! x; O% Y# q- \
A、金山毒霸已经于4月10日对该病毒进行了处理,请升级最新版可完全查该病毒;
/ G$ _0 Z+ {' Q3 j' P3 h2 n' v7 y$ @. w- ^- @" [
B、在收取邮件和在线聊天时不要轻易打开陌生人传来的文件,如果有必要打开,请使用最新病毒 库的反病毒软件检测后再打开;在没有升级IE最新补丁的情况下,不要轻易点击好友发来的网 址;
) A( p5 H% K% w: O8 c8 E4 R6 {9 ]2 l. V2 H$ o, h
C、该病毒不易手工清除,会造成清除不干净的现象,请升级毒霸到2004年4月10日的病毒库可处理 该病毒。如没有安装金山毒霸,可以登录http://online.kingsoft.net使用金山毒霸在线杀毒或 是金山毒霸下载版来防止该病毒的入侵。 |
|