名稱
相關資料
病毒名稱: WORM_ScardSer.A其他病毒名:WORM_GOLTEN.A(Trend Micro)
W32.Scard(Symantec)
Worm/Alert.a(江民)
Worm.SCardSer(瑞星)
感染系統:Windows 2000, Windows 95, Windows 98, WindowsMe, Windows NT, Windows Server 2003,
Windows XP
病毒特徵:
1、生成病毒檔案
病毒運行後在%System%目錄下生成ALERTER.EXE、COMWSOCK.DLL、DMSOCKDLL、 IETCOM.DLL、SCARDSER.EXE、SPTRES.DLL。(其中,%System%為系統資料夾,在默認情況下,在Windows 95/98/Me中為 C:\Windows\System、在Windows NT/2000中為C:\Winnt\System32、在Windows XP中為C:\Windows\System32)
2、修改註冊表項
病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon下創建Shell = "Explorer.exe"
病毒還會生成如下註冊條目,以便能夠下載遠程檔案,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 下創建
Dfile = "http://www.abost.com/update/031.exe"
3、通過電子郵件傳播
病毒電子郵件特徵如下:
主題: Latest News about Arafat!!!
正文:
Hello guys!
Latest news about Arafat!
unimaginable!!!!!
該病毒含有兩個.EMF檔案作為附屬檔案。ARAFAT_1.EMF是一個.JPG檔案,顯示內容如下:另一個附屬檔案為ARAFAT_2.EMF,該檔案包含了可以利用微軟Windows XP Metafile Heap Overflow的漏洞。當附屬檔案被打開後,上述檔案會在受感染的系統中生成一份自身拷貝。
4、通過網路共享傳播
病毒會嘗試通過網路共享驅動器傳播,它會在默認的網路資料夾ADMIN$和IPC$中運行病毒自身的拷貝。病毒會嘗試使用自帶的密碼列表連線網路共享驅動器,來實施進一步的傳播。
5、病毒運行
當病毒發出的郵件被閱讀或者共享驅動器中的檔案被激活的時候,病毒就會開始運行。病毒會在系統中生成如下進
程: LSASS.EXE、EXPLORER.EXE 。病毒還會安裝.DLL檔案,此檔案會從遠程位置下載其他組件並可用於自身傳播。病毒會添加註冊表項目,用於初始化遠程檔案下載。
手工清除該病毒的相關操作:
1、刪除惡意檔案
右擊開始,點擊搜尋或尋找,這取決於當前運行的Windows版本。在名稱輸入框中, 輸入:COMWSOCK.DLL、DMSOCK.DLL、IETCOM.DLL、SPTRES.DLL ,找到該檔案然後選擇刪除。
2、修復註冊表
打開註冊表編輯器。點擊開始->運行,輸入REGEDIT,依次雙擊左邊的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>WindowsNT>
CurrentVersion>Winlogon ,找到右側面板中Shell = "Explorer.exe",並將其刪除。
依次雙擊左邊的面板中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ,找到右側面板中的Dfile = "http://www.abost.com/update/031.exe",並將其刪除。
3、修補系統漏洞
Microsoft Security Bulletin MS04-032,到以下網址下載該漏洞的補丁程式
http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx
