概述

感染途径

解决方案

相关新闻

概述

2003年9月18日晚，瑞星公司通过全球反病毒监测网截获了一个传播速度极快的恶性蠕虫病毒“斯文（Worm.Swen）”。该病毒会象求职信病毒一样在网络中大面积泛滥，它将自己伪装成微软的升级邮件来诱惑用户点击；它会实时自动统计已被感染电脑的数量；此外，病毒还会通过mIRC软件进行传播，干掉几十家反病毒软件与防火墙，使用户电脑的安全防护失效。

病毒评估：

警惕程度：★★★★☆

发作时间：随机

病毒类型：蠕虫病毒

传播途径：邮件/局域网/mIRC软件/Kazaa软件

依赖系统: WINDOWS 9X/NT/2000/XP

感染途径

瑞星全球反病毒监测网截获了一个传播速度极快的恶性蠕虫病毒“斯文（Worm.Swen）”，它于2003年9月19日开始在我国传播。该病毒会象“求职信”一样在网络中大面积泛滥并引起网络阻塞, 影响用户的正常上网。该病毒会将自己伪装成微软公司的升级邮件来诱惑用户点击，当用户运行该病毒时还会显示安装进度条，具有非常大的迷惑性。另外，该病毒还有一个独特之处,就是它会实时自动统计发送成功的病毒邮件数量,至今全球已有几百万台电脑收到了该病毒的带毒邮件，用户随时都有可能激活该病毒。

该病毒运行时会将自己伪装成一封微软公司升级邮件，然后搜索所有有效的邮件地址向外疯狂发送病毒邮件。该病毒邮件的标题为："Returned Response"（译文：反馈信息），附件是病毒本身。当病毒运行时会提示：“This will install Microsoft Security Update Do you wish to continue?”(译文：将安装微软安全补丁，你希望继续吗？)，如果用户选择“是”，则会出现一个安装进度条，当安装后还会提示已经安装成功，让用户以为是真正的补丁程序，其实这时候病毒已经运行。

病毒运行后会将自己拷贝到系统目录，然后将隐藏于内存之中伺机进行感染，并且关联后缀为：BAT、COM、EXE、PIF、REG等类型的的文件，当用户运行这类文件时，病毒便会显示一个出错框，其实这时病毒已经开始搜索硬盘中的有效邮件地址了。此外，病毒还会通过mIRC软件进行传播,干掉几十家反病毒软件与防火墙，使用户电脑的安全防护失效。

最近发现的“蓝盒子（Worm.Lehs）”、“V宝贝（Win32.Worm.BabyV）”和 “斯文（Worm.Swen）”病毒，都是将自己伪装成微软公司的补丁程序来进行传播的，希望广大用户提高辩别能力，免遭这些病毒侵扰。

1、发送带毒电子邮件，多以退信、微软公司发布的补丁升级程序的形式发送。病毒邮件利用IE的IFRAME漏洞可以在用户不打开附件的情况下就可以自动下载到本地，并且立即执行。

2、通过KazaA点对点工具的文件共享功能进行传播，蠕虫会拷贝复本到该软件指定的共享文件夹中

3、通过IRC聊天工具的文件共享功能进行传播，蠕虫会拷贝复本到该软件指定的共享文件夹中

4、通过网络共享进行传播，蠕虫会查找网络中的共享文件夹，尝试将复本拷贝到这些系统中的以下文件夹内：

对于Win9x：
WindowsStart MenuProgramsStartup

对于Win2000/WinXP：
Documents and SettingsStart MenuProgramsStartup
如果登录用户名为：administrator,则该文件夹为：
Documents and SettingsAdministratorStart MenuProgramsStartup

对于WinNT：
WinntProfilesStart MenuProgramsStartup
如果登录用户名为：administrator,则该文件夹为：
Documents and SettingsAdministratorStart MenuProgramsStartup

5、蠕虫还会向它指定的自闻组发送带病毒的邮件。

解决方案

该病毒使用病毒名、注册表中启动项的键值都会使用随机的，所以手工清除会有一定的困难，建议各位网络用户采用以下方法对病毒进行清除。

方法一：请使用2003年9月19日以后病毒库版本的金山毒霸查杀该蠕虫病毒，然后使用“注册表修复工具”修复病毒所改动的文件关联。

方法二：使用专杀工具，可以完全处理该蠕虫病毒，包括回恢病毒把修改的注册表项。

方法三：首先，下载一个专杀工具（地址请见上面），然后重启，当出现那个可执行文件（如：adks.exe)找不到而需要重新定位时，把专杀工具改成该名（即adks.exe)，跟住把路径定位到专杀工具存放的地方，确定--执行，此时病毒运行的同时杀毒软件也运行，相者便会抵消。现在就可以运行REGEDIE把相关病毒运行相关注册表项删除。

相关新闻

恶性蠕虫Worm.Swen爆发 全球百万台电脑中招

2003年9月18日晚，瑞星公司通过全球反病毒监测网截获了一个传播速度极快的恶性蠕虫病毒“斯文(Worm.Swen)”。

该病毒会象“求职信”一样在网络中大面积泛滥，它将自己伪装成微软的升级邮件来诱惑用户点击，当用户运行该病毒时还会显示安装进度条，具有非常大的迷惑性。

该病毒的另外一个独特之处是,它会实时自动统计已被感染电脑的数量,截至到19日上午11：30全球被感染电脑台数已达123万台，瑞星反病毒工程师判断,该病毒正以每秒20台电脑的感染速度疯狂传播。

该病毒运行时会将自己伪装成一封微软升级邮件，然后搜索所有有效的邮件地址向外疯狂发送病毒邮件。该病毒邮件的标题为："Returned Response"(译文：反馈信息)，附件是病毒本身。

当病毒运行时会提示：“This will install Microsoft Security Update Do you wish to continue?”(译文：将安装微软安全补丁，你希望继续吗？)，如果用户选择“是”，则会出现一个安装进度条，当安装后还会提示已经安装成功，让用户以为是真正的补丁程序，其实这时候病毒已经运行。

病毒运行后会将自己拷贝到系统目录，然后将隐藏于内存之中伺机进行感染，并且关联后缀为：BAT、COM、EXE、PIF、REG等类型的的文件，当用户运行这类文件时，病毒便会显示一个出错框，其实这时病毒已经开始搜索硬盘中的有效邮件地址了。

此外，病毒还会通过mIRC软件进行传播,干掉几十家反病毒软件与防火墙，使用户电脑的安全防护失效。最近发现的“蓝盒子(Worm.Lehs)”、“V宝贝(Win32.Worm.BabyV)”病毒和今天的“斯文(Worm.Swen)”，都是将自己伪装成微软公司的补丁程序来进行传播的，据反病毒专家分析，在冲击波病毒以后，出现了许多以打补丁为内容的邮件病毒，请广大用户提高辩别能力，最好使用专业的杀毒软件来预防这些病毒。