Myparty病毒的清除
网络与通信
又一款病毒横空出世,它就是名为“我的晚会”(Myparty)的蠕虫病毒,该病毒主要通过电子邮件传播,到目前为止,Myparty已经感染了亚洲多家大型企业的系统。
一、Myparty病毒简介
Myparty病毒来源于俄罗斯,它不会感染使用斯拉夫语或俄语字母进行输入的计算机,而且当这种病毒感染一台计算机时,会向一个俄罗斯免费电子邮件账户(napster@gala.net)中发送邮件,以便病毒作者跟踪蠕虫的传播。
该病毒是用Visual C++编写的,蠕虫病毒体文件长度29696字节,解压缩之后为92050字节。该蠕虫所发送的邮件如(图1)所示。
请大家注意附件文件名,很有欺骗性,它会使有些用户以为这是个超级链接,通过点击它会链接至雅虎网站。而事实上它却是个以“.com”为后缀名的可执行文件!一旦你认为这是个URL而点击了它,该病毒就会搜索用户的地址簿,将该邮件发送给地址簿中的所有人,使这些人也感染病毒!Myparty病毒除了会造成乱发邮件现象外,更为可怕的是它会在用户的计算机中放置木马程序,以便日后进行进一步的破坏。
二、Myparty病毒特点
为能获得染毒机器上的E-mail列表,蠕虫将会扫描硬盘上所有的WAB和DBX文件,这两个文件分别为Windows的地址簿文件和Outlook Express的收件箱、发件箱文件,蠕虫会搜索其中包含的E-mail地址,然后进行传播。
在发作期内,MyParty蠕虫运行后,会将把自身复制到系统内,并开启一个传播程序。依据系统的不同,该病毒所拷贝文件的路径也不同。
1.在Win9x/ME系统下,会在C盘根目录下生成regctrl.exe文件。
2.在WinNT/2000/XP系统下,会在C:\Recycled目录下(即回收站)生成regctrl.exe文件。
如果系统日期不在2002年1月25日至29日之间。
1.在Win9x/ME系统下,病毒会在C:\Recycled文件夹下生成regctrl.exe文件,并且执行它。
2.在WinNT/2000/XP下,病毒会在C:\Recycled目录下生成没有后缀名的文件:F-[随机数字]-[随机数字]-[随机数字],如生成类似这样的文件名:F-10027-29349-1986、F-25195-14962-23584。
随后,蠕虫将会检查系统的键盘布局,当系统支持俄罗斯键盘时,该蠕虫用同样的方法将自身也拷贝入Recycled/Recycler目录并删除自身。也就是说,如果你的系统支持俄罗斯键盘布局则不会感染病毒。
另外,在WinNT/2000/XP系统上,如果运行了病毒文件,会在“开始菜单\程序\启动”下生成msstask.exe文件,该文件是一个后门程序。后门程序中包含一个IP地址(209.151.250.170),它允许作者访问这台计算机。
三、如何判断自己的电脑是否染毒
在C盘根目录或C:\Recycled文件夹下查找是否存在regctrl.exe文件,如果有则说明你的电脑感染了病毒。另外,WinNT/2000/XP用户,还可以检查“开始菜单\程序\启动”下是否存在msstask.exe文件,如果有则说明你的电脑已经感染病毒。
四、Myparty病毒清除方法
如果已经中毒,可以手工删除病毒生成的文件。但最好使用杀毒软件来彻底清除它,目前各大反病毒软件厂商已经对该病毒做出反应,请大家将自己手头上的杀毒软件升级到最新的病毒库,即可安全的查杀该病毒了。