武汉白云黄鹤站
日前,美国网络联盟公司(NAI)在Windows NT和Windows 98 系统环境中发现一种名为ExplorZIP.worm的病毒。此病
毒为32位蠕虫病毒,通过电子邮件传播,并修改Win 9X的WIN.INI以及Win NT的注册登记文件。
病毒的特征表现为蠕虫病毒调用MAPI所查到的E-mail应用程序,如:MS Outlook、MS Outlook Express、MS Exchang
e和Netscape-mail。该蠕虫病毒将以如下信息答复收到的邮件:"Ireceived your email and I shall send you a reply
ASAP. Till then, take a look at the attached zipped docs." 而邮件的标题栏不表明该邮件是一封回信。名为"Zippe
d_files.exe"的蠕虫病毒便附在该答复邮件中,其大小为210,432 bytes。文件为Winzip压缩图标外观,如收件人双击它进
行解压,则在此过程中将会出现一个假的错误提示信息:"Cannot open file:it does not appear to be a valid archi
ve. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again.
Please press F1 for help." 然后,该蠕虫病毒会搜索机器上所有的驱动器,当找到时,它会删除所有下列文件:.c、.c
pp、.h、.asm、.doc、.xls、.ppt,使其字节长度变为"0"。
NAI公司现已发现清除ExploreZIP.worm病毒的有效方法:
Win 9X:重启并进入MS_DOS模式,编辑WIN.INI并删掉 "run=c:\windows\system\explore.exe ",然后删除 "c:\win
dows\system\ explore.exe",再重启Win9X即可。
Win NT:该蠕虫作为一个进程,在Win NT Task manager 中名为"explore",用户可以终止该进程,运行REGEDIT(注
意:不是REGEDIT32) 并嵌入 [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Current\Version\Windows],删除
"run=C:\\WINNT\System32\Explore.exe",重启NT,删除文件 "c:\winnt\system32\Explore.exe"即可。
NAI同时还推出了动态实时防范措施,以保证用户不受到32位 蠕虫病毒的袭击:
1. 确保你的系统中已经安装了NAI VirsuScan 4.0.2版本的反病毒软件;
2. 利用VirusScan 特别功能AutoUptate,可以实现DAT文件的升级工作;
3. 在已经安装了最新版本的VirusScan.DAT文件后,仍需要下载和安装最新EXTRA.DAT文件,以确保VirusScan 可以
发现和删除32位蠕虫病毒;
4. 为了使VirusScan能够接受新的Extra文件,用户需要关闭并重新启动VirusScan On-Access Monitor;
5. 通过监测Event Viewer的Application Log,可以确定 是否确实得到NAI软件的保护, 以防止32位蠕虫病毒的侵
害。