词条 | Worm.Goner |
释义 | 将死者(Worm.Goner)病毒解决方案 知识库编号: RSV0512293 内容分类: 蠕虫病毒 关键词: Worm.Goner;将死者 适用操作系统:Windows 操作系统 适用操作系统补丁版本:全部补丁适用 将死者(Worm.Goner)病毒资料及解决方案。 病毒介绍 病毒名称:Worm.Goner 病毒类型:网络蠕虫 病毒大小: 38912字节 该病毒本身是一个压缩文件 ,如果打开压缩文件,就会变成159KB的文件。此病毒是用Visual Basic编写,且经过压缩软件UPX压缩,反解压工具处理,使之用原始的UPX不能解压。由于是VB编写的病毒,它运行时就需要一个VB的动态链接库msvbvm60.dll,若用户的计算机里没这个文件,病毒就无法被激活,这些用户则会幸免于难。 病毒传播方式 (1).通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件。 (2).通过IRC聊天工具传送病毒文件,插入mIRC SCRIPT脚本使染毒机器可以用来进行DDOS攻击。 (3).通过ICQ聊天程序,判断ICQ的版本,如果版本正确则将自身发给在线的网友。 病毒特性 1)首先,弹出一个对话框: 2)将自身copy至Windows系统目录下,修改注册表: HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run %SystemDirectory%\\GONE.SCR = %SystemDirectory%\\GONE.SCR 3)伪装成了一个屏幕护程序,开始传播.如果通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件时,它会以如下方式显示: 邮件主题:Hi 邮件内容:How are you ? When I saw this screensaver, I immediately thought about you I am in a harry, I promise you will love it! 附件名称:GONE.SCR 4)此病毒还会搜索计算机里的反病毒软件,它首先检查内存中是否有如下程序: APLICA32.EXE AVCONSOL.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPM.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET32.EXE ESAFE.EXE FRW.EXE FEWEB.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE LOCKDOWN2000.EXE PCFWallIcon.EXE PW32.EXE TDS2-98.EXE TDS2-NT.EXE VP32.EXE VPCC.EXE VPM.EXE VSECOMR.EXE VSHWIN32.EXE VSSTAT.EXE VW32.EXE WEBSCANX.EXE ZONEALARM.EXE 若存在上述程序,病毒将会自动关闭它们,同时查找硬盘上对应文件所在目录,并删除该目录下的所有文件。若无法删除,病毒会修改wininit.ini文件以便在系统重启时删除文件。 5)如果被感染机器装了ICQ,则判断ICQ的版本,如果版本正确则将自身发给在线的网友。 6)弹一对话框,显示一条虚假信息来掩饰自己: 解决方案 方案一 手工清除方法。 1) 在纯DOS模式下,用类似 C: CD \\WINNT\\SYSTEM 的命令切换到WINDOWS的系统目录,键入 DEL GONE.SCR 删除gone.scr文件; 2) 接着回到WINDOWS,启动注册表编辑器,? HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\, 删除其中名称中含有"\\gone.scr"的键值; 3) 删除mIRC目录中的REMOTE32.INI 文件; 4) 删除MIRC.INI文件,用以前的备份文件中恢复该文件; 5) 该病毒轻松清除。 方案二 瑞星杀毒软件13.33.01之后的版本可以彻底拦截此病毒。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。