|
射线(Worm.Rays),蠕虫病毒。病毒感染系统后,随机自启动,通过局域网共享高速传播,发送带毒邮件,该病毒影响系统性能,并会严重阻塞网络。以下是该病毒的详情:
6 x9 Z! G: v* q4 a4 F% ^/ p6 ^
' Q3 j* W8 f. F1 a3 | 病毒名称:Worm.Rays - b/ \2 a& o+ o- Z6 P) F6 L
中文名称:射线威胁级别:3C ; }) _& o9 {2 p. n
病毒类型: 蠕虫受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
8 w* n* w3 a# P3 n& q
- ? D1 d1 O5 J, J0 Q" M5 ` 1 T; K1 Y0 Y& t* H; q4 R
4 E Q! v* S2 w- k" W$ G& c
A、 通过网络发送邮件;& b' u; g% R6 a6 P, ^
+ Y9 m5 U, G: q- u; f
B、 通过局域网共享高速传播;- O6 d( S$ Z8 [1 A) Q: J+ c9 a# S
+ P' k3 F: X7 s% N. ?6 J C、 拷贝其本身至系统安装目录:%SystemRoot%\Mstray.exe %SystemRoot%\MShelp.EXE并且,该病毒用"文件夹"的图片来伪装成文件夹,诱骗用户点击;% o' F$ J1 I6 i! | |1 ^
6 T/ G, W' ]5 s6 F5 q5 n3 j D、 该病毒会监视活动窗口,如果某个窗口移到了最前,该病毒就会根据窗口主题的内容来创建一个它的拷贝,并保存在新的位置;然后,它会运行这个新的拷贝,退出并删除旧的拷贝;% U' i0 D0 F7 ?$ {+ D, y7 d
" ?' p. T$ O- w, { E、 在注册表主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加如下键值:"RavTimeXP"= <该蠕虫当前使用的文件名>"RavTimXP"= <该蠕虫最后使用的文件名>在注册表主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup下添加如下键值:"RavTimXP"修改注册表主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState下的键值为:"fullpath" = 0x1修改注册表主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下的键值为:"HideFileExt" = 0x1"Hidden" = 0x0, v9 Y/ H( X- p* S& c
$ j j! q \! v' G1 v0 w8 u
F、 向Outlook地址簿中的Email发送包含其本身的邮件,邮件具有如下特点:主题:MS?DOS????(问号代表中文字符)附件:MShelp.EXE正文:<中文字符>
1 w/ x$ J# }' Z; Z( F9 L7 q
" | m8 f" R4 O2 _
. C4 k2 T _) A. `0 u 解决方案: ) p3 c4 d, W5 D4 p
) _8 m g0 J7 J4 ~
A、金山毒霸已经于4月10日对该病毒进行了处理,请升级最新版可完全查该病毒;. y3 l! Z3 ?: ^* c) d2 H Z7 n
) g9 ]6 W, k7 w1 j: x$ F- @8 H B、在收取邮件和在线聊天时不要轻易打开陌生人传来的文件,如果有必要打开,请使用最新病毒 库的反病毒软件检测后再打开;在没有升级IE最新补丁的情况下,不要轻易点击好友发来的网 址;
9 o# E# b" _" C4 t- a$ Y; j- `) x4 e0 O
C、该病毒不易手工清除,会造成清除不干净的现象,请升级毒霸到2004年4月10日的病毒库可处理 该病毒。如没有安装金山毒霸,可以登录http://online.kingsoft.net使用金山毒霸在线杀毒或 是金山毒霸下载版来防止该病毒的入侵。 |
|