假冒AVI文件的新病毒

网络与通信

贺锐

一种名为“Worm_Liac.A”的新病毒，假冒影片AVI格式的文件，迅速在全球扩散。这种病毒装扮成看起来像影片格式的图标，但实际上为exe可执行文件。用户一旦执行这个文件，会大量发送电子邮件给通讯录名单上的所有人。

一、病毒特征

别名：W32.Liac.A@mm, W32/Calil-A, Lilac
类型：蠕虫病毒
邮件主题：Lilac project video attach(附件为Lilac主题影片)
邮件正文：Things that the govt. don't want you to know
附件：Lilac_What_A_Wonderfulname.avi.exe

二、病毒技术细节

此病毒是用Visual Basic 6编写而成，使用电影格式的图标。为了达到发送大量邮件的目的，病毒通过用户执行了Microsoft Outlook的附件后，将自己复制到Windows临时文件夹中。病毒第一次被运行后，它会显示出一个含有以下内容的对话框：
Windows
Error54: Media Player not installed correctly(Windows错误53：媒体播放器没有正常安装)
然后病毒会搜索系统是否存在以下文件夹：　
C:\Windows\temp
C:\Win98\temp
C:\Win95\temp
C:\Winnt\temp
C:\Winme\temp
C:\Winxp\temp
接着，它将自己复制到最后找到的一个文件夹中，并命名为Lilac_What_A_Wonderfulname.avi.exe。
病毒会在注册表中生成以下键值，以使自己在每次系统启动时自动加载：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下"Lilac" = %PATH%\Lilac_What_A_Wonderfulname.avi.exe。
以下注册表键值会使每次登录时，显示有“Owned by:xEn0crAtEs”文字的对话框：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]下“RegisteredOwner"="xEn0crAtEs"；
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Winlogon]下“LegalNoticeCaption" = "Owned by:"；
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon] 下“LegalNoticeText" = "Owned by: xEn0crAtEs。
最后它将自己复制到通讯录名单中的邮件附件里，并通过邮件感染其他的机器。

三、手工查杀方法

1.打开任务管理器。
2.强行关闭任务名为“Windows”的程序。
3.打开注册表编辑器。
4.在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]中删除掉“Lilac”。
5.在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]中删除掉“RegisteredOwner = xEn0crAtEs”。
6.在[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]中删除掉“LegalNoticeCaption=Owned by:”和“LegalNoticeText=Owned by:xEn0crAtEs”。
7.运行杀毒软件，扫描系统，删掉所有被感染的文件即可。