| 埃瓦(Worm.Colevo)病毒 |
|
|
| 瑞星公司 PConline 2003-07-07 |
该病毒群于7月2日被瑞星全球反病毒监测网截获,该病毒群除了会通过邮件疯狂传播之外,还会给打开系统后门,控制用户计算机。值得注意的是,病毒运行后还会自动连接网站并显示十幅图片,该图片全部是玻利维亚领导人埃瓦.莫里斯的近照。
病毒运行时会在用户的系统目录中产生十几个不同的病毒体,并修改相关的文件关联,只要用户打开或运行后缀为exe、com、bat、pif、hta的文件,病毒就能自动运行,然后控制系统,打开后门,等待远程的连接。病毒还会利用用户的邮件系统,向外发送标题为:“El adelanto de matrix ta gueno?”,附件名:hotmailpass.exe的病毒邮件。
病毒的发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
1、病毒会修改下列扩展名的文件关联:exe、com、bat、pif、hta和配置文件win.ini、system.ini的启动内容,用户可以手工恢复这些文件关联,或使用一些注册表修复工具修复注册表,对于配置文件,用户可以用编辑软件如记事本编辑,将病毒改过的内容改回。
2、病毒会通过修改注册表来自启动,修改的相关键值为:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunsystem
%WinDir%system.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRun1234System
%WinDir%system.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRunSevicesSystem
%WinDir%system.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRunSevicesOnceSystem
%WinDir%temp.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystem
%WinDir%system.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRun1234System
%WinDir%temp.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunSevicesSystem
%WinDir%commands.com
用户可以直接删除病毒产生的这些键值。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:Windows”或:“c:Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:Windowssystem”或:“c:Winntsystem32”。
3、病毒运行后,会复制自己到下列目录,列表如下:
%WINDIR%COMMAND.EXE
%WINDIR%SYSTEM.EXE
%WINDIR%HOT GIRL.SCR
%WINDIR%ALL USERS.EXE
%WINDIR%INF.EXE
%WINDIR%TEMP.EXE
%WINDIR%INTERNET DOWNLOAD.EXE
%WINDIR%SHELL.EXE
%WINDIR%SYSTEM32.EXE
%WINDIR%SYSTEM64.PIF
%WINDIR%INTERNET FILE.EXE
%WINDIR%PART HARD DISK.EXE
%WINDIR%SYSTEM32COMMAND.COM
%WINDIR%SYSTEM32NET.COM
%WINDIR%SYSTEM32WWW.MICROSOFT.COM
%WINDIR%SYSTEM32INF.EXE
C:RECYCLEDEVO MORALES.SCR。
用户可以搜索系统目录,发现这些文件后直接删除。
4、病毒会通过发送邮件的方式进行传播。发送:
标题是:El adelanto de matrix ta gueno?
内容为:
Pablo_Hack
Oye te U paso el programa para entrar a cuentas del messenger,
y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie,
ya?Respondeme que tal te parecio. Chau?
附件为:hotmailpass.exe的病毒邮件,用户如果发现这样的邮件,则可以直接将该邮件删除。
如果在自己的计算机中发现以上全部或部分现象,则很有可能中了埃瓦(Worm.Colevo.a/b/c/d/e)病毒。
|
|
|
|
|
 |
|
|
|
|
|
|
|
