病毒名稱:
Aliz病毒類型:
蠕蟲病毒介紹:這個病毒又是利用微軟IE漏洞來進行侵害,歐洲、日本、及中國已經傳出災情。遭受感染的系統,會利用IE里的通訊簿,再度寄發大量郵件,造成企業郵件伺服器被阻塞,以及用戶的系統資源被大量占用,造成當機。該病毒體積極小,只有不足4K,用戶一般不以察覺,再加上它不需用戶打開郵件即可發作,所以用戶需格外注意。
發作時間:
隨機發作現象及解決方案:
該病毒的發作的情況很象Nimda,它又是利用了IE的一個安全漏洞-----IE的預覽功能,當閱讀或預覽該郵件時,該病毒就會被自動執行。它遍歷OutLook的地址薄,對所有地址發信。不過該病毒不駐留在系統中,不傳染磁碟上的檔案。沒有表現模組。所以用戶只需將其查殺或關機後重啟計算機即可清除。該病毒有點象Nimda,它利用了IE的一個安全漏洞-----IE的預覽功能,當閱讀或預覽該郵件時,該病毒就會被自動執行。它遍歷OutLook的地址薄,對所有地址發信,內容如下:
標題:(
由5個字元串組合而成)str1 str2 str3 str4 str5str6str7str8-------------- ------------- -------------------- ------------------ Fw: Cool website to check !! Fw: Re: Nice site for you ! then: Hot PICS i found :-) some urls to see ?! Funny pictures here hehe ;-) weird stuff - check it funky mp3s great shit Interesting music many info
正文:
peace附屬檔案:
whatever.exe該病毒不駐留在系統中,不傳染磁碟上的檔案。沒有表現模組。病毒體內有以下內容:
:::iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i realize this text got added on many av description sites, because this silly worm could be easily a hype. i wonder which av claims '【companyname】 stopped high risk worm before it could escape!' or shit like that. heh, or they boycot my virus because of this text. well, it is easy enough for the poor av's to add this worm; since it was only released as source in coderz#2... btw, loveletter*2 power in pure Win32Asm and only a 4k exe file. heh, vbs kiddies, phear win32asm. :) thx to: Bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx & sweet gigabyte...btw,burgemeester van sneek: ik zoek NOG een baantje...(alignmentfillingtext)
=========================================================================================
Win32/Aliz“愛麗茲”病毒是一個通過SMTP引擎來傳送帶病毒郵件的病毒,使用彙編語言編寫,並壓縮過。該網路蠕蟲傳播的病毒附屬檔案大小約是4096位元組。檔案名稱稱是:whatever.exe。
含有病毒郵件的主題是隨機的,是由以下的五部分中的任意選擇一個形成的,因此需要用戶在收到類似的信件時特別注意。這5部分分別是:
(1) Fw: 和 Fw: Re: (2種)
(2)Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many(10種)
(3)website、site、pics、urls、pictures、stuff、mp3s、shit、music、info(10種);
(4)to check、for you、i found、to see、here、- check it(6種);
(5)!!、!、:-)、?!、hehe ;-) (5種)
從以上的分析可以看出,郵件的主題可能有6000種之多,舉一個例子是:
Fw: Cool website to check !!.
傳播病毒的郵件地址是從以下的註冊表鍵值來獲得:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name,典型的默認值是:
C:\WINDOWS\Application Data\Microsoft\Address Book\默認.wab。
傳送至SMTP伺服器的通過查找註冊表鍵獲得:
\HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001查找其中的SMTPServer的數值來確定的,而郵件的正文只有一個單詞:peace (和平)。
病毒的清除:
1、如果用戶的硬碟分區是WIN98、WINDOWS NT4、WINDOWS 2000、WINDOWS XP的NTFS格式,請用戶安裝KVW3000 5.0以上版本,該版本可在任何WINDOWS系統下查殺記憶體和被WINDOWS已經調用的染毒檔案,可在系統染毒的情況下殺除病毒。
2、如果用戶硬碟裝的作業系統是WINDOWS 98之前版本,也可使用乾淨DOS軟碟啟動機器。
3、執行KVD3000.EXE或KV3000.EXE,查殺所有硬碟中的病毒。
4、為了預防該病毒在瀏覽該帶毒信箋可以自動執行的特點,必須下載微軟的補丁程式。地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp,可預防此類病毒的破壞。
5、WINDOWS 2000如果不需要可執行的CGI,可以刪除可執行虛擬目錄,例如:/scripts等等。
6、如果確實需要可執行的虛擬目錄,建議可執行虛擬目錄單獨在一個分區。
7、開啟KVW3000實時監測病毒防火牆。
8、再將信箱中的帶毒郵件一一刪除,否則又會重複感染。