蠕虫MultiDroppe的清除

网络与通信

RAY

国家计算机病毒应急处理中心最新捕获一种新的网络蠕虫程序Trojan.MultiDropper。
　　蠕虫程序的附件名称是c_num.gif.exe文件的大小是61705字节。运行后，会将自身拷贝到Windows\System目录下，但文件名称被修改成kernelsys32.exe，同时也会向网络邻居的可写磁盘的回收站中写入该文件，文件名称会被修改成Notdelw.i.n.v.e.r.y.i.f.y.exe，接着修改网络邻居的计算机Windows系统配置文件Win.ini，以使系统每次启动后都能自动运行在这个回收站中的文件。

感染流程

1.该网络蠕虫修改系统注册表：在[Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run]中增加的键值是：“IMEKernel32”，文件所在位置：c:\Windows\System \Kernerlsys32.exe，该网络蠕虫程序会在系统每次启动时自动加载。
　　2.该网络蠕虫的重要部分在于通过E-mail来传播。大多数情况下，网络蠕虫传播附件的名称是汉字文件名，但是扩展名称不一样，一般的双扩展名称一个是：bmp、rtf、doc、txt、gif、jpeg、jpg；另一个是：exe或者lnk。
　　该网络蠕虫程序还会在本地磁盘的htm或html文件或者邮件文件包中搜索E-mail地址，在搜索完所有能找到的可以感染的E-mail地址后，该网络蠕虫程序利用自身的SMTP引擎来发送网络蠕虫程序，该网络蠕虫程序在没有打补丁的Windows系统上，仅仅浏览信件就可以发作。
　　Windows补丁下载地址：http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。

手工修复

1.执行regedit；
　　2.找到[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Run]；
　　3.直接删除网络蠕虫建立的键值IMEKernel32及c:\Windows\System\Kernelsys32.exe这个文件。