国际计算机安全权威机构发布最新病毒公告称, 发现了一种新型的名为“W97M/Melissa”的宏病毒(美丽杀手), 该病毒能传染Word97 和Word2000。第一天便有 60000 台以上机器被感染,短短的一个星期,互联网便经历了一场罕见的“电子邮件病毒”的风暴!“电子邮件病毒”真这么厉害吗?有没有方法可以解毒呢?下面让我们来看看这些病毒的发作症状及解毒方法。看完后,你就可以对“它们”说“不”。
美丽杀手
根据KILL98反病毒技术人员对W97M/Melissa病毒进行的分析,确定该病毒传染的对象是Word97 和Word2000文件。当用户打开已感染有该病毒的文件时,美丽杀手便传染用户系统, 同时,病毒通过用户收发带毒的电子邮件互相传染,而且传染方式非常隐蔽。
美丽杀手病毒的具体表现症状是:
1.当用户打开的文件感染有该病毒时,病毒首先检查注册表中是否有美丽杀手的注册信息,若有则表明系统已被传染,否则,在注册表中创建一条注册项如下:
HKEY_CURRENT_USER\Software\Microsoft\Office\“Melissa?” = “... by Kwyjibo”
2.利用Visual Basic 指令建立一个OutLook对象, 从OutLook的全域地址表中获取成员地址信息, 将下列信息以电子邮件方式, 自动发送到地址表中的前50 个邮箱(一次发送50封邮件)。其中:
邮件主题为:“Important Message From -”
正文为:“Here is that document you asked for ... don’t show anyone else ;-)"。之后,病毒将已感染有该病毒的文件作为附件发送出去。目前较为流行的一种附件的文件名为“list.DOC”(注意附件的文件名并不只有这一种)。
3.当用户接收到带毒的邮件并打开时, 用户的Word 系统中所有打开的文件将被传染。当机器时钟的时间数值与日期的数值相同时,如4月27号的4点27分,病毒将打开一个被传染的文件,在当前的光标位置插入下列信息:“Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here.”。
4.值得注意的是美丽杀手在传染Word2000时, 首先从注册表中检查其安全保护级别,如果注册表中HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\“Level”的值不为0,将禁用菜单中的“MACRO/SECURITY”选项。如果用户使用的系统是Word97,则禁用菜单中“TOOLS/MACRO”选项。
“怕怕”病毒
美丽杀手病毒余威尚存,作为美丽杀手病毒的发现者,Network Associates 公司又发现了一种与它类似但危害更大的电子邮件病毒Copycat。这种被昵称为“Papa”(怕怕) 的新病毒是一种Excel 病毒,跟Melissa 一样,它可以自动复制自己并发送给用户地址簿中的前60个人。此外,Papa 每次被激活时都向外发送电子邮件,而Melissa 只在第一次被激活时才发送邮件。Papa也向IP地址为207.222.214.225或者24.1.84.100的服务器随机发出“拒绝服务类型的攻击”。
“辛迪加” 病毒
“Syndicate.A”( 辛迪加),是基于Word 8 (Office 97)病毒的一个变种,与美丽杀手病毒非常相近,但比美丽杀手的危害性大。它驻留在ThisDocument模块中,被感染的机器在使用Outlook时,病毒从地址簿中每一个地址列表中挑选前69个地址,然后把已感染的文档作为附件发送给这些地址。 主题行为:“Fun and games from Username”,正文信息为:“"Hi! Check out this neat doc I found on the Internet!"发送完毕后,Syndicate.A还将发送E-mail给另一接收者: project1@nym.alias.net,主题为:“Guess who’s infected: UserName”( 猜猜又有谁中毒了),正文信息为“Infected!”
解毒方法:最新发布的KILL98的4.19版(http://www.kill.com.cn)和Network Associates的Mcafee Virusscan(http://www.nai.com)等国内外杀毒软件已经能够杀除美丽杀手及其变种了,已经中毒的赶快去下载啊。
Happy99病毒
看着现在横行江湖的美丽杀手,如果你记性还好的话,也许还记得曾经风光一时的 “Happy99”吧,Happy99对硬件和数据均没有大的影响,唯一的只是默默地耗费着时间和资源,减缓网络运行的速度,直至导致公司邮件服务的瘫痪。同样地,该程序也是通过电子邮件,向被感染用户所使用的新闻组和邮件地址发送几百份自身的拷贝。
如果你收到一封E-mail,带有一个名为 happy99.exe(注意,可能不是这个文件名) 的附件,而你去执行了它,你的屏幕上就会自动打开一个窗口,以黑色为底色的满天烟火,此后,只要你发信夹带附件就死机。重新启动后,还是不能发送夹带附件的信。如果不夹带附件,可以发信,但是 Happy99 会悄悄附在信中,对方如果运行,即被感染。然后,happy99就潜伏下来,如有机会,会赠送下一个收信人一个自身的拷贝。
解毒方法:
如果你收到带有 Happy99.exe 的邮件,并且已经运行了happy99.exe,恭喜你,你将有机会看到下面的解毒方法(如果没有运行,那我要祝贺你,因为你是一个聪明人)。
通过更新病毒库,最新的PCCillin 或 Norton 防毒程序可以将happy99查解。另外,国内的冠群金辰(http://www.kill.com.cn)、瑞星(http://www.rising.com.cn/download.htm)、信源(http://www.vrv.com.cn)等杀病毒厂商已推出清除 happy99 的软件。当然你还可以用手工进行检测和处理:打开 Windows 的 System 目录,如果发现有 ska.exe、ska.dll 与 wsock32.ska 等三个文件,那就说明你已经中毒了!你可以将前两个文件删除,再把 wsock32.ska 重新命名为wsock32.dll,然后,再将邮件中的 happy99.exe 删除即可。
注:本文大部分资料来自BBS、新闻组、网上论坛和互联网站,在此,向原作者表示感谢。
