|
射线(Worm.Rays),蠕虫病毒。病毒感染系统后,随机自启动,通过局域网共享高速传播,发送带毒邮件,该病毒影响系统性能,并会严重阻塞网络。以下是该病毒的详情:
6 y; e- t4 G0 \# f& a6 u4 i9 N1 C/ X9 o# X
病毒名称:Worm.Rays
% x9 ?7 T% G! y: `/ f中文名称:射线威胁级别:3C ( E# j& J: m/ E1 Y' M" [: c& B
病毒类型: 蠕虫受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003 ( u# f5 n# e3 f6 g: J1 l
/ K: S8 {' j6 |0 A6 I
6 P) y( @5 _: L& b0 X- I3 O4 t6 H1 M( w$ p7 @8 k/ `8 c) \ S8 c
A、 通过网络发送邮件;
z9 x4 v( L, x' ~$ P, d2 D
. `0 K0 U2 _6 T/ e) ^. l* f B、 通过局域网共享高速传播;
) y( i: G+ \$ n7 m1 m$ U
- h8 f) [3 o: n$ f) J! i' R: I C、 拷贝其本身至系统安装目录:%SystemRoot%\Mstray.exe %SystemRoot%\MShelp.EXE并且,该病毒用"文件夹"的图片来伪装成文件夹,诱骗用户点击;
+ A% i5 l# p8 O6 B5 h
+ K9 y: X2 U. ?: r* ? Z F D、 该病毒会监视活动窗口,如果某个窗口移到了最前,该病毒就会根据窗口主题的内容来创建一个它的拷贝,并保存在新的位置;然后,它会运行这个新的拷贝,退出并删除旧的拷贝;
m }4 R3 d3 N6 e+ d6 a) g' B& ]. \7 v$ O( F* O; W9 {
E、 在注册表主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加如下键值:"RavTimeXP"= <该蠕虫当前使用的文件名>"RavTimXP"= <该蠕虫最后使用的文件名>在注册表主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup下添加如下键值:"RavTimXP"修改注册表主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState下的键值为:"fullpath" = 0x1修改注册表主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下的键值为:"HideFileExt" = 0x1"Hidden" = 0x0
! ~- B9 z: |& G* t7 p8 O7 |7 u) L! Z: y* N# z& P
F、 向Outlook地址簿中的Email发送包含其本身的邮件,邮件具有如下特点:主题:MS?DOS????(问号代表中文字符)附件:MShelp.EXE正文:<中文字符>2 U4 X: a3 {, h! E1 k2 I/ d
- W0 l) j+ i% F" t% p/ _( q9 R+ [0 I7 L6 P$ t) X
解决方案:
: I" v( f5 p$ z- R0 e
2 k, b/ G5 O* p A、金山毒霸已经于4月10日对该病毒进行了处理,请升级最新版可完全查该病毒;
* ]; v/ m0 Y- Y" T4 A# ]% S
% g3 r7 ], B! D4 {; ^ B、在收取邮件和在线聊天时不要轻易打开陌生人传来的文件,如果有必要打开,请使用最新病毒 库的反病毒软件检测后再打开;在没有升级IE最新补丁的情况下,不要轻易点击好友发来的网 址;' k! M- p" v5 c0 b
3 a, ?$ _. `4 ~* C: w
C、该病毒不易手工清除,会造成清除不干净的现象,请升级毒霸到2004年4月10日的病毒库可处理 该病毒。如没有安装金山毒霸,可以登录http://online.kingsoft.net使用金山毒霸在线杀毒或 是金山毒霸下载版来防止该病毒的入侵。 |
|