W32.Datom.Worm 是一种通过开放的共享资源传播的蠕虫病毒。此蠕虫不包含有破坏性的有效载荷。 如果您在网络上或一直与 Internet 保持连接，Symantec 建议禁用或用密码保护文件共享。因为此蠕虫像许多其它蠕虫一样，是通过网络计算机上的共享文件夹传播，为确保蠕虫被删除后不会再感染计算机， Symantec 建议使用只读访问权限或密码保护进行共享。有关如何完成此操作的指导，请参阅 Windows 文档或文档：如何配置共享 Windows 文件夹以尽可能的保护网络。

简介(词条名 属性)

综述(发现 防护 建议 其他查杀方法)

相关阅读(蠕虫病毒 蠕虫病毒的独特性)

简介

词条名

W32.Datom.Worm

属性

计算机病毒，蠕虫类

综述

发现

2002 年 7 月 8 日

更新： 2007 年 2 月 13 日 11:40:12 AM

别名： W32/Datom-A [Sophos], Win32.Datom [CA], W32/Datom.worm [McAfee], Datom [F-Prot], Worm.Win32.Datom [KAV], WORM_DATOM.A [Trend], W32/Datom [Panda], Win32/Datom.worm [RAV]

类型: Worm

感染长度： 58,368 bytes (Msvxd.exe);54,784 bytes (Msvxd16.dll);81,408 bytes (Msvxd32.dll)

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

由于提交率的提高，Symantec 安全响应中心自 2002 年 7 月 23 日起，将 W32.Datom.Worm 的威胁级别从 2 类升级为 3 类。

防护

* 病毒定义（每周 LiveUpdate™） 2002 年 7 月 8 日

* 病毒定义（智能更新程序） 2002 年 7 月 8 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Low

分发

* 分发级别： High

* 共享驱动器： Spreads across open shares

W32.Datom.Worm 包括下列三个文件：

* Msvxd.exe

* Msvxd16.dll

* Msvxd32.dll

这些文件位于 %Windir% 文件夹中。

注意：%Windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹（默认位置是 C:\\Windows 或 C:\\Winnt），然后将自身复制到该位置。

每个文件中的任务都进行了适当的划分，以尽量避开启发式检测：

* Msvxd.exe 仅运行 Msvxd16.dll。

* Msvxd16.dll 首先在注册表中添加对 Msvxd.exe 的引用，然后运行 Msvxd32.dll。

* Msvxd32.dll 枚举网络共享资源，将这三个文件全部复制到这些共享资源的 %Windir% 文件夹，然后在 Win.ini 中的 Run= 命令行内添加对 Msvxd.exe 的引用。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

注意：以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 更新病毒定义。

2. 以安全模式重新启动。

3. 删除下列值

MSVXD

该值位于注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 从 Win.ini 文件中删除引用了 Msvxd.exe 的 Run= 命令行

5. 运行完整的系统扫描，并删除所有被检测为 W32.Datom.Worm 的文件。

有关如何完成此操作的详细信息，请参阅下列指导。

获得最新的病毒定义：

可通过两种方法获得：

o 运行 LiveUpdate，这是获得病毒定义最简便的方法。这些病毒定义经过 Symantec 安全响应中心的全面质量监控检测，如果未遇重大病毒爆发情况，会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 行。

o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义已经过 Symantec 安全响应中心的全面质量监控检测，会在工作日（周一至周五，美国时间）发布。必须从 Symantec 安全响应中心 Web 站点下载病毒定义，并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）行。

“智能更新程序” 病毒定义可从此处获得。有关如何从 Symantec 安全响应中心 Web 站点下载和安装“智能更新程序”病毒定义的详细指导，请单击此处。

以安全模式重新启动：

1. 关闭计算机，关掉电源，然后等待 30 秒。

2. 以安全模式重新启动计算机。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机（英文）。

从 Win.ini 文件中删除引用：

注意：（仅适用于 Windows Me 用户）由于 Windows Me 具有文件防护功能，因此 C:\\Windows\\Recent 文件夹中存在要编辑文件的一个备份副本。Symantec 建议在继续下一部分中的操作之前删除此文件。要使用 Windows 资源管理器完成此操作，请转至 C:\\Windows\\Recent，然后在右窗格中选中 Win.ini 文件并将其删除。将更改保存到要编辑的文件时，会重新生成此文件的一个副本。

1. 单击“开始”，然后单击“运行”。

2. 键入以下内容，然后单击“确定”：

edit c:\\windows\\win.ini

将打开“MS-DOS 编辑器”。

注意：如果 Windows 安装在其它位置，则用相应的路径代替。

3. 在文件的 [windows] 部分，查找以下面内容开头的行：

run=

4. 如果 run= 行引用了 Msvxd.exe，请选中整行并将其删除。

5. 单击 File，然后单击 Save。

6. 单击 File，然后单击 Exit。

从注册表删除值：

警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。出现“运行”对话框。

2. 键入 regedit，然后单击“确定”。“注册表编辑器”打开。

3. 导航至下列键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除下列值：

MSVXD

5. 单击“注册表”，然后单击“退出”。

扫描和删除受感染文件：

1. 启动 Symantec 防病毒软件，并确保已将其配置为扫描所有文件。

o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

o Symantec 企业版防病毒产品：请阅读文档：如何确定 Symantec 企业版防病毒产品是否已设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Datom.Worm，请单击“删除”。

4.

描述者： Peter Ferrie

其他查杀方法

1、首先确定本地计算机上有无杀毒软件，无杀毒软件下载杀毒软件，有杀毒软件的更新到最新版本

2、使用杀毒软件查杀病毒

3、为防止感染不要双击打开任何磁盘分区和U盘以及移动硬盘，建议使用鼠标右键想要打开的磁盘选择打开

4、使用其他辅助类工具查杀，比如蠕虫病毒专杀工具或者360安全卫士以及windows清理助手等。

5、为保证查杀效果建议重新启动按F8进入安全模式查杀

相关阅读

蠕虫病毒

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。

蠕虫病毒的独特性

与一般病毒不同，蠕虫病毒不需要将其自身附着到宿主程序，它是一种独立智能程序。有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含（侵占）在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。