病毒名称:VBS_NEWLOVE.A
病毒别名:NEWLOVE.A, VBS/Spammer.A, VBS.Loveletter.FW, Spammer, Newlove
病毒传播途径:透过电子邮件
病毒描述:
VBS_NEWLOVE.A病毒,传播途径类似日前喧腾一时的"ILOVEYOU"病毒,主要感染Windows95/98/NT/2000,当使用者一旦执行附加文件,病毒即企图经由被感染者Outlook通讯簿发出自动信件,连锁性的大规模散播将造成企业mail server当机。与 "ILOVEYOU"病毒的最大差异处在于,VBS_NEWLOVE.A属于"千面人病毒"(注一),每繁殖一次就会以不同的病毒码传染到别的地方去,也就是说每一个中毒的文件中所含的病毒码都不一样。更具威胁性的部份是VBS_NEWLOVE.A病毒不似 "ILOVEYOU" 病毒使用相同的信件标题,VBS_NEWLOVE.A病毒在寄出的email中会随机选用不同的信件标题及附加文件名称,让计算机使用者防不胜防。另外,该病毒会破坏计算机虫目录下的使用者硬盘的文件,连网上邻居中分享资料夹的计算机亦会被破坏。遭感染的文件会遭覆写为0 bytes,造成Windows无法重新开机,系统需要重装。
解决方案:
o 不要开启任何附档名为 VBS 的文件(或重命名vbs脚本解释器)。由于该病毒会自动更改信件主旨及附件文件名称,所以无法凭目测辨别。如果您无法顺利下载病毒码,请即刻拦截隔离 eMail 附件中带有附文件名为 VBS 的文件,让病毒无法顺利进入mail server。
o 由于病毒会造成Windows无法重新开机,我们建议客户若需重灌操作系统,应把未遭病毒感染的资料作好备份。
o 手动清除病毒步骤
a.点选开始 => 执行
b.输入regedit
c.寻找下列路径并删除病毒
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
请注意HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun目录下含有Windows的正常信息文件。此处指得是病毒文件名。所以请留意不要删除到正常的信息文件。
d.重新开机
e.使用防毒软件扫描系统将VBS_NEWLOVE.A.病毒及遭感染的文件(0 byte)删除。
(注一)千面人病毒 (Polymorphic/Mutation Virus)
千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!如Whale病毒依附于.COM文件时,几乎无法找到相同的病毒码, 而Flip病毒则只有2 byte的共同病毒码(好像戴面具只剩两个眼睛露出来)。
--------------------------------------------------------------------------------
注:以上资料由趋势科技提供