15.蠕虫Zoher
蠕虫Zoher病毒通过邮件传播,邮件的主题为Fw:Scherzo!,附件名称为:javascnpt.exe。
邮件内容为意大利文。该病毒的突出特点在于,它会自动从http://banners.interfree.it/网站下载一个名为list.txt病毒文件,会自动搜索本地邮件地址簿中的所有邮件地址,并按地址发送。
目前,list.txt文件的破坏性不是很强,市面上的最新版杀毒软件都可清除。最后一定不要忘了升级IE到6.0。
16.红色代码|||
红色代码Ⅲ是针对中文Windows操作系统的攻击性病毒,CodeRedⅢ与CodeRedⅡ都将对简体中文/繁体中文Windows系统进行双倍的攻击。这里所介绍的清除方法对CodeRedⅡ、CodeRedⅢ型都有效,手动清除方法如下(如果不幸中了此病毒,应该立即关闭所有80端口的Web服务,避免病毒继续传播)。
(1)清除Web服务器中的两个后门文件C:\Inetpub\scripts\root.exe和C:\progra~1\co- mmon~1systemMSADC
oot.exe。
(2)清除本地硬盘中的C:\explorenexe和D:\explorer.exe。先要杀掉进程explorer.exe,打开任务管理器,选择进程。检查进程中是否有两个“exploer.exe”。如果找到两个“exploer.exe”,说明木马已经在机器上运行了。在菜单中选择“查看→选定列→线程计数”,按“确定”。这时会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”,显示线程数为“1”的“exploer.exe”就是木马程序。结束这个进程。删除C:\exploer.exe和 D:\exploer.exe,这两个程序都设置了隐藏和只读属性。需要设置“资源管理器”的“查看→选项→隐藏文件”为“显示所有文件”才能看到它们。
(3)清除病毒在注册表中添加的项目:HKLMSOFTWAREMicrosoftWindowsNTCurr- entVersion\Winlogon\,删除键值为OFFFFFF9Dh的SFCDisable键,或将键值改为0。
(4)将HKLMSYSTEMCurrentControlSetServices\W3SVCParameters\Virtual Roots\Scr- ipts键值由“,,217”改为“,,201”。
(5)将HKLMSYSTEMCurrentControlSet\Services\W3SVCParameters\Virtual Rootsms- adc键值由“,,217”改为“,,201”。
(6)删除HKLMSYSTEMCurrentControlSet\Services\W3SVCWammeters\Virtual Roots\键值为:C:\,,217的主键。
(7)删除HKLMlSYSTEMCurrentControlSet\Services\W3SVCPammeters\Virtual Roots\键值为:D:\,,217的主键;
(8)重新启动系统,以确保CodeRed.v3彻底清除。最后,不要忘了为操作系统打上最新的补丁。
17.笑哈哈Shoho
“笑哈哈”病毒,又名Worm.Shoho.110592,是一种基于Windows的常驻内存型病毒,通过E-mail方式传播,利用IE的漏洞自动执行,并向Microsoft Outlook地址簿中的邮箱反复发送自身,造成邮箱堵塞,还会随机删除当前目录下的文件,造成系统启动困难。下面介绍手工清除的方法。
(1)选择。“开始→运行”,输入Regedit命令,修改注册表文件;
(2)双击如下条目:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV- ersion\Rum
(3)在窗口右侧中寻找并删除如下项:WINIODGON.EXE=“%windows%\WINIOGON.EXE”;双击如下条目:HKEY_CURRENT_USER\Software\Microsoft\Wimdows\CurrentVe-rsion\Run;
(4)在窗口右侧中寻找并删除如下项:WINLODGON.EXE=“%windows%\WINLOGON.EXE”;
(5)双击如下条目:HKEY_USER\Default\Software\Micmsoft\Windows\CurrentVersion\Run;
(6)窗口右侧中寻找并删除如下项:WINLOGON.EXE=“%windows%\WINLOGON.EXE”,最后别忘了升级IE到6.0。
18.Sircam
手动清除的方法如下所述。
(1)清空回收站,因为Sircam.sys文件将隐藏在回收站中;
(2)在DOS模式下打开Autoexec.bat文件,如果有“@win\recycled\sirc32.exe”的字段则删除;
(3)更改注册表,将regedit.exe改名为regedit.com;
(4)进入dos模式,键入“copy regedit.exe regedit.com”;
(5)回到Windows模式,进入注册表编辑器,查找主键:HKEY_CLASSES_ROOT\ex- efile\shell\open\command,删除其原有键值,并将其键值改为“%1”%*,查找主键HKEY_ LOCAL MACHINE\Software\SirCam并将其删除,再查找主键HKEY_LOCAL_MA-CHINE\ Software\Microsoft\Windows\CurrentVersion\RunServices,在其右侧的窗口中,如果有Driver 32,则删除。
19.混客绝情炸弹
“混客绝情炸弹”是一种危害极大的新型病毒。它并不传播,只是将病毒做在网页内,当用户在不知情的情况下打开含病毒的网页,病毒就会发作。它的爆发现象有多种,如修改 IE默认主页、关机直至破坏系统、格式化硬盘等。由于这种病毒是在异地对本地客户机进行破坏,所以一般的防火墙很难对它进行有效的防范。同时反病毒专家告诫用户,陌生人介绍的网站一定要谨慎登录。下面介绍手工清除方法。
(1)清除以下键值HKCU\Software\Microsoft\Intemet Explorer\Main\Start Page;
(2)删除以下键HKLM\Software\Micmsoft\Intemet Explorer\Main\Window TitleHKCU\Sof-tware\Micmsoft\Internet,Explorer\Main\Window Title;
(3)删除以下主键(包括子键)HKCU\Software\Microsoft\Windows\CurrentVersion\Poli- cies\Explorer,HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,HKCU\Sof- tware\Microsoft\Windows\CurrentVersion\Policies\WinOldApp,HKLM\Software\Micmsoft\Win- dows\CurrentVersion\Winlogon;
(4)最后自己手工清除收藏夹中的链接。
20.死者Goner
“死者Goner”是一种典型的网络蠕虫病毒,主要有三种传播方式。
(1)通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件;
(2)通过IRC聊天工具传送病毒文件,插入mIRC SCRIPT脚本使染毒机器可以用来进行DDOS攻击:
(3)通过ICQ聊天程序,判断ICQ的版本,如果版本正确则将自身发给在线的网友。
采用手动方式清除:
(11)在纯DOS模式下,键入:CD\WINNT\SYSTEM或在Windows的系统目录,键入: DEL GONE.SCR,删除gone.scr文件;
(2)接着回到Windows,启动注册表编辑器,HKEY_LOCAL_MACHINE\Software\Mic- rosoft\Windows\CurrentVersionkRun\,删除其中名称中含有“\gone.scr”的键值;
(3)删除mIRC目录中的REMOTE32.INI文件:
(4)删除MIRC.INI文件,用以前的备份文件中恢复该文件;
(5)重新启动系统。
