“网络天下” (WORM_NETSKY.C)变种病毒和其前身相同的是,该病毒为使用邮件进行大量群发自身的邮件蠕虫,而且会在被感染的计算机上的一些共享文件夹中生成自己的文件拷贝增加传播的机会。此变种发送的邮件也与其前身类似,使用了一些常见的的邮件主题及正文
病毒分析
趋势科技2月26日凌晨发布针对“网络天下” 变种病毒(WORM_NETSKY.C)的全球中度风险警报,该病毒目前在美国及欧洲爆发。
“网络天下” (WORM_NETSKY.C)变种病毒和其前身相同的是,该病毒为使用邮件进行大量群发自身的邮件蠕虫,而且会在被感染的计算机上的一些共享文件夹中生成自己的文件拷贝增加传播的机会。此变种发送的邮件也与其前身类似,使用了一些常见的的邮件主题及正文,如 “Here it is”, 或者 “I wait for your comment about it” ,以达到降低用户的警惕性,促使用户打开邮件附件,使病毒得到传播。不过两者的附件使用的文件名称有些细微的差别,其前身WORM_NETSKY.B使用的附件名称偏向于伪装成用户被窃取的机密信息,而WORM_NETSKY.C则倾向于一些容易引起用户兴趣的软件名称。这些都是常见的社会工程学伎俩。
“网络天下” (WORM_NETSKY.C)变种病毒附带一个大小为25K的附件。会感染Windows 95,98,ME, NT,2000和XP平台。
手动截杀
辨别病毒程序
在进行病毒清除前,首先辨别该病毒程序。
使用趋势科技的防病毒产品扫描你的系统
记录下检测出的所有 WORM_NETSKY.C 文件
趋势科技的用户在扫描系统前应该下载最新病毒码。其它的网络用户可以使用趋势科技的免费在线病毒扫描器 Housecall。
结束病毒程序
该操作结束内存中运行的病毒进程。你需要刚才记录下的文件名。
打开Windows任务管理器
在 Windows 95/98/ME 系统上, 按下CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统上, 按下CTRL+SHIFT+ESC, 并点击进程标签
在运行的程序列表中,找到刚才记录下的病毒文件:
选择病毒进程,根据系统的Windows版本,按下结束任务或结束进程按钮。
对运行进程列表中的其它病毒文件执行相同的操作
关闭任务管理器,再重新打开,检查病毒进程是否结束
关闭任务管理器
*注意: 系统上运行的如果是Windows 9x/98/ME, 任务管理器可能不会显示某些进程。你需要其它的进程管理器来结束病毒进程。否则,继续下面操作的同时,注意附加提示。
从注册表中删除自动运行键
删除注册表中的自动运行键可以防止病毒在每次系统启动的时候运行:
打开注册表编辑器。点击 Start>Run, 敲入 Regedit,然后回车
在左边的面板,双击下面的项目:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,找到并删除下面的键:
ICQ Net = "%Windows%\winlogon.exe -stealth"
注意: %Windows% 是默认的Windows文件夹,通常是 C:\Windows 或 C:\WinNT.
关闭注册表编辑器
注意:如果按照上面操作仍不能结束内存中运行的病毒进程,请重启你的系统。
网友评论