注意，韩流来了

数码时尚

贺锐

　　近日一个名为“Winevar”网络蠕虫病毒传播迅速，由于它最早出现在韩国，故中文称之为“韩流”蠕虫。

　　病毒特征

　　该病毒采用Windows PE可执行格式，大小约为91KB，用VC++编写，具备“新娘”病毒的特性，自带SMTP发信引擎。

　　病毒邮件的主题：Re：AVAR(Association of Anti-Virus Asia Reseachers)或N`4[Registered Organisation]。

　　邮件正文通常有以下文本：

　　AVAR(Association of Anti-Virus Asia Reseachers) - Report.

　　Invariably， Anti-Virus Program is very foolish.

　　邮件还会含有以下附件：

　　[name].TXT、MUSIC_1.HTM、*.GIF、MUSIC_2.CEO、*.pif、MUSIC_1.HTM、MUSIC_2.CEO(*号表示随机产生，但通常以“Winxxxx”或“Win1234.pif”形式出现)。

　　病毒运行机理

　　染毒后，病毒会拷贝自己到系统目录，并生成以Win开头、扩展名为PIF或TMP的文件。同时病毒还生成和运行名为Aavar.pif的文件，该文件包含有病毒Win32.Funlove.4099。病毒会修改注册表相关键值，以确保自己开机后就首先被运行，进一步为了避免被反病毒软件查杀。它会搜索含有scan、mon、vir、anti、prot、secu、pcc、spy等的文件，如果在内存找到符合上述特征的程序进程，该进程会被病毒清除。另外它也会删除目录中含有antivirus、cillan、nlab、vacc的文件。

　　病毒在下次重启时，会显示一个“Make a fool of oneself: What a foolish thing you've done!”的信息框，一旦用户点击“OK”按钮，“韩流”蠕虫病毒则会删除所有文件夹下的所有可删除文件。同时，为了检测本机是否在线，它会不停地将赛门铁克站点的主页下载为本地临时文件，然后再将文件删除。并且搜索系统中后缀名为HTM和DBX的文件，从中找出开头不包含microsoft@、[、]、^、%、+、/、?、`、\、@@的E-mail地址，利用默认的SMTP服务器传播。如果“韩流”蠕虫病毒不能联机成功，它就会释放Funlove病毒，对其他文件进行感染。

　　病毒危害

　　由于病毒会不停地将赛门铁克站点主页下载为本地临时文件，如果“韩流”蠕虫病毒广泛传播，就可对赛门铁克官方站点造成拒绝服务攻击，使其服务器中断正常服务，使用户不能及时升级软件，以此造成更大范围的蔓延。“韩流”蠕虫病毒还会修改Windows注册表信息：将注册公司改为“Trand Microsoft Inc.”，将注册用户改为“AntiVirus”。而且它会释放Funlove病毒，对本地机器造成危害。最后该病毒会删除本机上的所有文件，给用户造成不可挽回的损失。

　　删除方法

　　1.删除“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”和“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”中的病毒键值。

　　2.运行升级到最新版本的反病毒软件进行查杀，同时不可忽视对Funlove病毒的检查。