| 词条 | WORM_ScardSer.A |
| 释义 | § 名称 WORM_ScardSer.A § 相关资料 病毒名称: WORM_ScardSer.A 其他病毒名:WORM_GOLTEN.A(Trend Micro) W32.Scard(Symantec) Worm/Alert.a(江民) Worm.SCardSer(瑞星) 感染系统:Windows 2000, Windows 95, Windows 98, WindowsMe, Windows NT, Windows Server 2003, Windows XP 病毒特征: 1、生成病毒文件 病毒运行后在%System%目录下生成ALERTER.EXE、COMWSOCK.DLL、DMSOCKDLL、 IETCOM.DLL、SCARDSER.EXE、SPTRES.DLL。(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\\Windows\\System、在Windows NT/2000中为C:\\Winnt\\System32、在Windows XP中为C:\\Windows\\System32) 2、修改注册表项 病毒创建注册表项,使得自身能够在系统启动时自动运行,在 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\ CurrentVersion\\Winlogon下创建Shell = "Explorer.exe" 病毒还会生成如下注册条目,以便能够下载远程文件,在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 下创建 Dfile = "http://www.abost.com/update/031.exe" 3、通过电子邮件传播 病毒电子邮件特征如下: 主题: Latest News about Arafat!!! 正文: Hello guys! Latest news about Arafat! Unimaginable!!!!! 该病毒含有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件,显示内容如下:另一个附件为ARAFAT_2.EMF,该文件包含了可以利用微软Windows XP Metafile Heap Overflow的漏洞。当附件被打开后,上述文件会在受感染的系统中生成一份自身拷贝。 4、通过网络共享传播 病毒会尝试通过网络共享驱动器传播,它会在默认的网络文件夹ADMIN$和IPC$中运行病毒自身的拷贝。病毒会尝试使用自带的密码列表连接网络共享驱动器,来实施进一步的传播。 5、病毒运行 当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒会在系统中生成如下进 程: LSASS.EXE、EXPLORER.EXE 。病毒还会安装.DLL文件,此文件会从远程位置下载其他组件并可用于自身传播。病毒会添加注册表项目,用于初始化远程文件下载。 手工清除该病毒的相关操作: 1、删除恶意文件 右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。在名称输入框中, 输入:COMWSOCK.DLL、DMSOCK.DLL、IETCOM.DLL、SPTRES.DLL ,找到该文件然后选择删除。 2、修复注册表 打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>WindowsNT> CurrentVersion>Winlogon ,找到右侧面板中Shell = "Explorer.exe",并将其删除。 依次双击左边的面板中的 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon ,找到右侧面板中的Dfile = "http://www.abost.com/update/031.exe",并将其删除。 3、修补系统漏洞 Microsoft Security Bulletin MS04-032,到以下网址下载该漏洞的补丁程序 http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。