簡要介紹
日前,美國網路聯盟公司(NAI)在Windows NT和Windows 98系統環境中發現一種名為ExplorZIP.worm的病毒。此病毒為32位蠕蟲病毒,通過電子郵件傳播,修改Win 9X的WIN.INI以及Win NT的註冊登記檔案。
病毒特徵表現為蠕蟲病毒調用MAPI所查到的E-mail應用程式,如:MS Outlook、MS Outlook Express、MS Exchange和Netscape-mail。該蠕蟲病毒將以如下信息答覆受到的郵件:“I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs.”郵件的標題欄不表明該郵件是一封回信。名為“Zipped_files.exe”的蠕蟲病毒便附在該答覆郵件中,其大小為210,432 bytes。檔案為Winzip壓縮圖示外觀,如收件人雙擊它進行解壓,則在此過程中將會出現一個假錯誤提示信息:“Cannot open file:it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help.”然後,該蠕蟲病毒會搜尋機器上所有的驅動器,當找到時,它會刪除所有下列檔案:.c、.cpp、.h、.asm、.doc、.xls、.ppt,使其位元組長度變為"0"。
清除方法
NAI公司已發現清除ExploreZIP.worm病毒的有效方法:
Win9X:重啟並進入MS_DOS模式,編輯WIN.INI並刪掉“run=c:\windows\system\explore.exe”,然後刪除“c:\windows\system\ explore.exe”,再重啟Win9X即可。
Win NT:該蠕蟲作為一個進程在Win NT Task manager中名為“explore”,用戶可以終止該進程。運行REGEDIT(注意:不是REGEDIT32)並嵌入[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current\Version\Windows,刪除“run=C:\\WINNT\System32\Explore.exe”,重啟NT,刪除檔案“c:\winnt\system32\Explore.exe”即可。
