computer 版 (精华区)

发信人: neverbw (汇编汇编我爱你！), 信区: network
标  题: 小心又一病毒：“冰冷世界”
发信站: 听涛站 (2001年10月30日12:08:37 星期二), 站内信件

警惕：金山又发现一网络病毒“冰冷世界”
  　　一种名为“冰冷世界”的新型网络病毒开始在互联网上流行。和在今年二月
份时发现的库尔尼可娃病毒(VBS.SST)一样，该病毒是由一个名为 Vbswg 1.50b 的
病毒编写工具制造的。

  　病毒被运行后，创建一个 WScript 的对象，删除掉本地系统中的 msconfig.
exe(系统配置工具)和 regedit.exe(注册表编辑工具)。通过此对象访问系统注册
表，创建 HKEY_CURRENT_USER\Software\coldworld，并将其键值设为：Worm made
 with Vbswg 1.50b。为了更快地传播，它将会按照受病毒感染的 Outlook 软件中
所有的电子邮件地址发送 E-mail。其内容如下：

　　邮件主题：拉登被炸死

　　邮件正文：新华社图片

　　邮件附件：Worm.vbs(大小为 3,132 字节)

　　为了避免重复发送邮件，该病毒还在注册表中设置了是否发送的标识：
HKEY_CURRENT_USER\Software\coldworld\mailed，只有当该值不等于 1 时病毒才
会调用邮件发送程序，发送后该值就被设置为 1。

　　病毒侵入系统时，它将在系统的 Windows 目录中复制自身，并且将其添加在
 Windows 的启动项中，其键值为 Win。

  　病毒会查找本地和网络驱动器的所有文件，如果其扩展名为 zip 或 jpg，则
将其内容全部替换为病毒代码(原文件已被病毒破坏)。

　　该蠕虫病毒能传播的基本条件是计算机上的 Windows 脚本宿主 WScript.
exe 被安装(Windows 缺省设置为安装)。邮件发送的基本条件是系统中安装
Microsoft Outlook 软件，并且已连接到网络上。

　　用户当收到符合上述情形的电子邮件时一定不要打开附件，并立即将其删除。
同时，需要尽快更新手中的反病毒软件。目前最新版本的金山毒霸(2001.10.29)已
可以安全地检测和清除该病毒, 毒霸用户可通过网站下载和店面升级的方式获取毒
霸最新版本。

　　该病毒可以通过手工方法清除，操作如下：

　　1、删除邮箱中所有符合上述条件的邮件；

　　2、删除系统中，尤其是 Windows 目录下的 Worm.vbs 文件；

　　3、删除注册表中 HKEY_CURRENT_USER\Software\coldworld

　　和 HKEY_CURRENT_USER\Software\coldworld\mailed 两项。

　　4、查找本地的所有 Zip 和 jpg 文件，如果其中包含以下内容：’Vbs.
coldworld Created By hp，则删除。


金山毒霸报道
  
--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]