叛逃者病毒现身网络
数码时尚
2月17日,某杀毒公司的全球反病毒监测网截获一个混合型脚本病毒──叛逃者(Vbs.Evade)。该病毒不攻击系统文件,但是会感染、破坏网页类文件、多媒体文件和Office文件,而且文件一旦被破坏就无法恢复。叛逃者病毒还会像蠕虫病毒一样通过Outlook邮件进行传播,重要的是,该病毒会将被感染的Office文件当做邮件附件发送出去,造成严重泄密。
感染和传播方式
1.叛逃者病毒运行时会复制Winstart.vbs、Netlnk32.vbs、Wininst32.vbs、Winnt32.vbs、Winnet32.vbs、Conversation.vbe等6个病毒体,然后将它们拷入系统目录,以增大运行机会,并在所在根目录下生成Passwords.vbs文件来诱惑用户运行该病毒。当该病毒运行时,就会感染硬盘上的所有VBS文件,将病毒代码加密后插入这些文件中。
2.该病毒还会生成Evade.gif、Evade.jpg两个图形文件,然后将病毒代码藏入其中,以防止被用户发现。
3.该病毒在完成了以上工作后,会直接感染Word、Excel的模板文件,只要用户打开这类文档文件,病毒就可以运行,然后不断地感染其他的文档文件。
4.该病毒还会查找计算机中的地址簿,通过邮件进行传播。邮件内容为:“The file I am sending you is confidential as well as important;so don't let anyone else have a copy.”邮件的附件是被感染的当前病毒文档,当用户打开该病毒文档时,病毒便开始运行。
5.叛逃者病毒运行后,会用自身覆盖掉以下目录中的.mp3、.mp2、.avi、.mpg、.mpeg、.mpe、.mov、.pdf、.doc、.xls、.mdb、.ppt、.pps等十余种数据文件,并且无法恢复:
C:\Kazaa\My Shared Folder
C:\My Downloads
C:\ProgramFiles%\Kazaa\My Shared Folder
C:\ProgramFiles%\KaZaA Lite\My Shared Folder
C:\ProgramFiles%\Bearshare\Shared
C:\ProgramFiles%\Edonkey2000
C:\ProgramFiles%\Morpheus\My Shared Folder
C:\ProgramFiles%\Grokster\My Gorkster
C:\ProgramFiles%\ICQ\Shared Files。
手工查杀方法
如果你的电脑已经感染了叛逃者(Vbs.Evade)病毒,可以按照以下步骤进行手工清除。
1.在内存中杀掉Wscritp.exe进程,以防止病毒进一步感染文件(在Windows 2000以上操作系统可以用“任务管理器(Ctrl+Shirt+Esc)”将该进程杀除掉)。
2.由于叛逃者病毒会复制出Winstart.vbs、Netlnk32.vbs、Wininst32.vbs、Winnt32.vbs、Winnet32.vbs、Conversation.vbe等6个病毒体,因此在系统目录中查找这些文件,找到后将这些文件直接删除。
3.由于该病毒会生成Passwords.vbs、Evade.gif、Evade.jpg等病毒文件,在计算机中查找这些文件,找到后将它们直接删除。
4.当收到以下标题的信件时,不要随便观看这些邮件,最好直接将这些邮件删除,以防止病毒运行:“Here is that file”、“Important file”、“The file”、“Word file”、“The file you wanted”、“Here is the file”。其邮件内容如上面提到的那样。
5.叛逃者病毒会感染当前Office模板中的Normal.dot和book1两个文件,在Office目录中查找该文件,发现后直接删除。
6.叛逃者病毒还会感染当前打开的DOC文档和XLS文档,用户可以进入当前文档,用“Alt+F11”调用宏编辑框,在其中查找“ThisDocument”项或“ThisWorkbook”项,双击此项,如果发现其中有内容,则为病毒体,直接将它删掉。
要注意的是,由于用手工查杀很繁琐,并且不能确保完全彻底清除叛逃者病毒,所以还是建议大家及时升级自己的杀毒软件,使用相关杀毒软件查杀叛逃者病毒。