特徵
目前大規模流行的“求職信”病毒新變種和原來的“求職信”病毒一樣,通過郵件進行傳播,並具有七大特徵:
1.“求職信”系列變種病毒利用微軟系統的漏洞,可以自動感染,無須打開附屬檔案,因此危害性很大。
2.這次的變種具有很強的隱蔽性,可以“隨機應變”地自動改換不同的郵件主題和內容,瓦解郵件接收者的警惕性。
3.在郵件內部存放傳送信息的一部分,這些變種病毒會偽造虛假信息,掩蓋病毒的真實來源。
4.能夠繞開一些流行防毒軟體的監控,甚至專門針對一些防毒軟體進行攻擊。
5.除開可以在網路上利用郵件進行傳播外,這些變種病毒還可以利用區域網路上的已分享檔案夾進行傳染,其傳播特點類似“尼姆達”病毒,因此對於某些不能查殺區域網路已分享檔案病毒的單機版防毒軟體,這將意味著在網路環境下,根本無法徹底清除病毒。
6.目前已經開始在網路上出現的一些“求職信”變種的專殺工具,由於無法適用於所有的變種,因此在殺除一些變種病毒時,會連病毒帶檔案一同刪除,結果造成殺病毒把電腦一起“殺死”的情況。
7.傳統防毒軟體清除該病毒需要在DOS系統下進行。
預防
需要注意的是:一旦該網路蠕蟲被運行的話,大多數的反病毒軟體會被自動終止。那么如何預防和清除該病毒呢?
預防方法:要阻止該網路蠕蟲利用電子郵件傳播,用戶必須安裝相應的補丁程式,下載地址如下:www.microsoft.com/technet/security/bulletin/MS01-020.asp。
在WINDOWS 95/98/ME系統下的清除:先運行在WINDOWS 95/98/ME系統下的安全模式下,使用註冊表編輯工具regedit將網路蠕蟲增加的鍵值刪除:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun
和HKEY_LOCAL_MACHINESystemCurrentControlSetServices
要刪除的註冊表項目是wink——?.exe的鍵值。
同時還必須相應的將WINDOWS的SYSTEM目錄下的該隨機檔案Wink——?.exe刪除,注意還必須將資源回收筒清空。刪除了相應的病毒檔案後,可以重新啟動計算機,然後,在KVW3000的安裝目錄下執行KVD3000.EXE來清除該病毒。注意一些全部是網路蠕蟲的程式或者檔案是需要按照提示完全刪除的。
(2)在Windows 2000/XP系統下的清除:
清除方法基本和Windows 95/98/ME系統下的清除方法相同:先以安全模式啟動計算機,運行註冊表編輯工具,同樣刪除該網路蠕蟲增加的鍵值:HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要刪除病毒增加的表項是:
wink開頭的隨機的表項。當然你必須記住該項目的具體名稱(雖然是隨機的),然後在系統目錄下將該檔案刪除。注意該檔案是隱含的,您必須打開顯示所有檔案的選擇項目才能查看該病毒檔案。同樣的註冊表項還有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun從以上的分析來看:該網路蠕蟲的傳播感染使用了多種手段、方法,幾乎覆蓋了所有的目前流行的傳播方式,建議用戶及時升級自己的KV3000查殺病毒軟體來查殺該病毒。