“爱丽兹”病毒查看源代码讨论查看历史
| 爱丽兹”病毒 |
爱丽兹是流行的蠕虫病毒的一个变种,但是与以往的蠕虫病毒不同的是它的体积更小(不足4K)、手段更高明(不用打开邮件即发作),
让用户在不知不觉中中毒,从而给用户和网络系统造成危害。病毒介绍:这个病毒又是利用微软IE漏洞来进行侵害,欧洲、日本、
及中国已经传出灾情。遭受感染的系统,会利用IE里的通讯簿,再度寄发大量邮件,造成企业邮件服务器被阻塞,
以及用户的系统资源被大量占用,造成死机。该病毒体积极小,只有不足4K,用户一般不以察觉,再加上它不需用户打开邮件即可发作,所以用户需格外注意。
中文名“爱丽兹”病毒
性 质蠕虫病毒的一个变种
特 点体积更小发作的情况很象Nimda
发作现象
该病毒的发作的情况很象Nimda,它又是利用了IE的一个安全漏洞-----IE的预览功能,当阅读或预览该邮件时,该病毒就会被自动执行。
它遍历OutLook的地址薄,对所有地址发信。不过该病毒不驻留在系统中,不传染磁盘上的文件。没有表现模块。所以用户只需将其查杀或关机后重启计算机即可清除。
该病毒有点象Nimda,它利用了IE的一个安全漏洞-----IE的预览功能,当阅读或预览该邮件时,该病毒就会被自动执行。它遍历OutLook的地址薄,对所有地址发信,内容如下:
标题:(由5个字符串组合而成) str1 str2 str3 str4 str5 str6 str7 str8-------------- ------------- -------------------- ------------------ Fw: Cool website to check 。
! Fw: Re: Nice site for you ! then: Hot pics i found :-) some urls to see ?! Funny pictures here hehe ;-) weird stuff - check it funky mp3s great shit Interesting music many info
正文:peace
附件:whatever.exe
该病毒不驻留在系统中,不传染磁盘上的文件。没有表现模块。病毒体内有以下内容:
- iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i realize this text got added on many av description sites, because this silly worm could
be easily a hype. i wonder which av claims '[companyname] stopped high risk worm before it could escape!' or
shit like that. heh, or they boycot my virus because of this text. well, it is easy enough for the poor av's to
add this worm; since it was only released as source in coderz#2... btw, loveletter*2 power in pure win32asm and only a
4k exe file. heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx,
t-2000!ir, ultras!mtx & sweet gigabyte...btw,burgemeester van sneek: ik zoek nog een baantje...(alignmentfillingtext)
解决方案
Win32/Aliz“爱丽兹”病毒是一个通过SMTP引擎来发送带病毒邮件的病毒,使用汇编语言编写,并压缩过。该网络蠕虫传播的病毒附件大小约是4096字节。文件名称是:whatever.exe。
含有病毒邮件的主题是随机的,是由以下的五部分中的任意选择一个形成的,因此需要用户在收到类似的信件时特别注意。这5部分分别是:
(1) Fw: 和 Fw: Re: (2种)
(2)Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many(10种)
(3)website、site、pics、urls、pictures、stuff、mp3s、shit、music、info(10种);
(4)to check、for you、i found、to see、here、- check it(6种);
(5)!!、!、:-)、?!、hehe ;-) (5种)
从以上的分析可以看出,邮件的主题可能有6000种之多,举一个例子是:
Fw: Cool website to check !!.
传播病毒的邮件地址是从以下的注册表键值来获得:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name,典型的默认值是:
C:\WINDOWS\Application Data\Microsoft\Address Book\默认.wab。
发送至SMTP服务器的通过查找注册表键获得:
\HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001查找其中的SMTPServer的数值来确定的,而邮件的正文只有一个单词:peace (和平)。
病毒的清除
1、如果用户的硬盘分区是WIN98、WINDOWS NT4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本,
该版本可在任何WINDOWS系统下查杀内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒。
2、如果用户硬盘装的操作系统是WINDOWS 98之前版本,也可使用干净DOS软盘启动机器。
3、执行KVD3000.EXE或KV3000.EXE,查杀所有硬盘中的病毒。
4、为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
5、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如:/scripts等等。
6、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。
7、开启KVW3000实时监测病毒防火墙。
8、再将邮箱中的带毒邮件一一删除,否则又会重复感染。[1]