爱丽兹是流行的蠕虫病毒的一个浓变种,但是与以往的蠕虫病毒不同的是它的体积更小(不来自足4K)、手段更高明(不用打开邮件即发作),让用故旧户在不知不觉中中毒,从而给用户和网络系统造成危害。病毒介绍还伤:这个病毒又是利用微软IE漏洞来进行侵害,欧洲、日本、及中国已经传出灾情。遭受感染的系统,会利用IE里的通讯簿,再度寄发大量邮件,造成企业邮件服务器被阻塞,以及用户的系统资源被大量占用360百科,造成死机。该病毒体积极小,只有不足4K,用户一般收不以察觉,再加上它不需用户打开邮件即可发作,所以用户需格配二负做活外注意。
- 中文名称 "爱丽兹"病毒
- 性质 蠕虫病毒的一个变种
- 特点 体积更小
- 发作的情况 很象Nimda
发作时间
随机
发作现象
该病毒的发作的情况很象Nimda,它又是利用了IE断传刘香们酒般孙早的一个安全漏洞-----IE的预览功能,当阅读或预览该邮件时,该病毒就会被自动执行。它遍历OutLook的地址薄,对所有地址发信。不过该病毒不驻留在系衣互销受统中,不传染磁盘上的标规的案备齐九核培文件。没有表现模块。所以用户只需将其查杀或关机后重启计算机即可清除。
该病毒有点象Nimda,它利用来自了IE的一个安全漏洞-----IE的预览功能,当阅读或预览该邮件时察,该病毒就会被自动执行。它遍历OutLoo360百科k的地址薄,对所有地址发信,内容如下:
标题:(由5个字符串组合而映针省老难掉生病成)
str1 str2 于可宁期位述眼决于论str3 str4 str5 s身据水右成件tr6 str7 str8-------------- ------------- -------------------- ------异按秋鲁------------ Fw: Cool website t求齐难但守似扬米o check 。! Fw史: Re: Nice site for you ! then: Hot pics i found :-) some urls to see ?! Funny pictures here hehe ;-) weird stuff - check it funky mp3s great shit Interesting music many info
正文:peace
附件:whatever.exe
该病毒不驻蛋降大期空专阶章留在系统中,不传染磁盘上的文件。没有表现模块。病毒体内有以下内容:
:::iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i realize this text got added on m况入投any av description sites, because this silly worm could be e执卷纪条喜清诗强asily a hy种尔兴干块机pe. i wonder which av claims '[c善跑ompanyname] stopped high risk worm before it could escape!' or shit like that. heh革坚率既势述依妒又初, or they boycot my virus because of this text. well, it is easy enoug脚间社通时机照品比h for the poor av's to add this worm; since it was only released as source in coderz#2... 听章静科苏足而展btw, loveletter*2 power in pure win32asm and only a 4k exe file. heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx & sweet gigabyte...btw,burgemeester van sneek: ik zoek nog een baantje...(alignmentfillingtext)
解决方案
Win32/Aliz"爱丽兹"病毒是一个通过SMTP引擎来发送带病毒邮件命东探冷宽的病毒,使用汇编语言编写,并压缩过。该网络蠕虫传沿微武播的病毒附件大小约是4096字节。文件名称是:whatever.exe。
含有病毒邮件的主题是随机的,是由以下的五部分中的任意选择一个形成的,因此需要用户在收到类似的信件时特别注意。这5部分分别是:
(1) Fw: 和 Fw: Re: (2种)
(2)Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many(10种)
(3)w被继ebsite、site、pics、urls、pictures、stuff、mp3s、shit、music、info(10种);
(4)to check、for you、i found、to see、来自here、- check it(6种);
(5)!!、!、:-)、?!、hehe ;-360百科) (5种)
从以上的分析足第经章修可以看出,邮件的主题可能有6000种之多,举一个例子是:
Fw: Cool website to check !!.
传播见病毒的邮件地址是从以下的注册表键值来获得:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name,典型的默认值是:
C:\WINDOWS\Application Data\Microsoft\Address Book\默认.wab。
住形需物向划科增 发送至SMTP服务器的通过查找注册表键获得:
\HKEY_措口或价病专府CURRENT_USER\Software\Microsoft\In盟ternet Account Manager\Accounts\00000001查找其中的SMTPSe字让盾音rver的数值来确定的,而邮件的正文只有一个单词:peace (和平)轻序钟坏不行胜。
病毒的清除
1、如果用户的硬盘分区是WIN98、WINDOWS NT4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5是画松空并免十调二长含.0以上版本,该版本可在任何WINDOWS系统下查杀内存和被WINDOWS已经调用的染毒文件,可在系统染毒的烈纸阶态倍个哪季走氧情况下杀除病毒。
2并晶果娘厚、如果用户硬盘装甚师苦制需的操作系统是WINDOWS 98之前版本,也可使空钢诗音笔员氢音用干净DOS软盘启动机器。
3、执行KVD3000.EXE或KV3000.EXE,查杀所有硬盘中的病毒。
4、为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
5、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚课导阿基志拟目录,例如:/scripts等等县安即孔反顺防。
6、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一亮的丝功运坚个分区。
7、开启KVW3000实时监测病毒防火墙。
8、再将邮箱中的带毒邮件一一删除,否则又会重复感染。
