概述
Win32/Aliz“愛麗茲”病毒是一個通過SMTP引擎來傳送帶病毒郵件的病毒,使用彙編語言編寫,並壓縮過。該網路蠕蟲傳播的病毒附屬檔案大小約是4096位元組。檔案名稱稱是:whatever.exe。含有病毒郵件的主題是隨機的,是由以下的五部分中的任意選擇一個形成的,因此需要用戶在收到類似的信件時特別注意。這5部分分別是:
(1) Fw: 和 Fw: Re: (2種)
(2)Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many(10種)
(3)website、site、pics、urls、pictures、stuff、mp3s、shit、music、info(10種);
(4)to check、for you、i found、to see、here、- check it(6種);
(5)!!、!、:-)、?!、hehe ;-) (5種)
從以上的分析可以看出,郵件的主題可能有6000種之多,舉一個例子是:
Fw: Cool website to check !!.
傳播病毒的郵件地址是從以下的註冊表鍵值來獲得:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name,典型的默認值是:
C:\WINDOWS\Application Data\Microsoft\Address Book\默認.wab。
傳送至SMTP伺服器的通過查找註冊表鍵獲得:
\HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001查找其中的SMTPServer的數值來確定的,而郵件的正文只有一個單詞:peace (和平)。
病毒的清除
:1、如果用戶的硬碟分區是WIN98、WINDOWS NT4、WINDOWS 2000、WINDOWS XP的NTFS格式,請用戶安裝KVW3000 5.0以上版本,該版本可在任何WINDOWS系統下查殺記憶體和被WINDOWS已經調用的染毒檔案,可在系統染毒的情況下殺除病毒。
2、如果用戶硬碟裝的作業系統是WINDOWS 98之前版本,也可使用乾淨DOS軟碟啟動機器。
3、執行KVD3000.EXE或KV3000.EXE,查殺所有硬碟中的病毒。
4、為了預防該病毒在瀏覽該帶毒信箋可以自動執行的特點,必須下載微軟的補丁程式。地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp,可預防此類病毒的破壞。
5、WINDOWS 2000如果不需要可執行的CGI,可以刪除可執行虛擬目錄,例如:/scripts等等。
6、如果確實需要可執行的虛擬目錄,建議可執行虛擬目錄單獨在一個分區。
7、開啟KVW3000實時監測病毒防火牆。
8、再將信箱中的帶毒郵件一一刪除,否則又會重複感染。
