对战争说不的蠕虫病毒──WORM_WANOR.A

数码时尚

Hrui

　　随着美伊战争的进行，全世界的反战示威游行也不断爆发，互联网在这段时间里也没有闲着，除了实时报道有关战争进展情况外，有一个打着反战旗号的蠕虫病毒也开始在网络上传播开来。

　　一、病毒特征

　　该病毒通过Microsoft Outlook来进行传播。它会通过使用保存在Microsoft Outlook地址簿中的邮件地址来发送病毒邮件，带毒邮件具有以下特征：

　　邮件主题：SAY NOT WAR

　　邮件正文：

　　que ca?a tio

　　http://www.puncown.org/rvb/F15/

　　http://www.sundaerald.com/28224/

　　该病毒可以通过共享文件和诸如eDonkey2000、Kazaa、Morpheus、Grokster、Bearshare、ICQ等点对点的文件共享程序来释放自身的复制品。当该病毒被运行后会释放如下文件：

　　·%Windows%\Winscr.scr

　　·%Windows%\INF\Winm.exe

　　·%System%\Msdepw32.dll

　　·%System%\Msdtv.dll

　　其中Winscr.scr和Winm.exe文件是蠕虫自身的复制品，Msdepw32.dll文件是保存病毒运行次数的无害文件，而Msdtu.dll是一个零字节的文件。如果这个蠕虫病毒被运行了20次，它就会将桌面图标和开始菜单隐藏起来，然后显示出一个含有反战内容的信息框，而且键盘上的“Num Lock”指示灯会不停地闪烁。

　　二、清除病毒

　　1.删除病毒文件Winscr.scr、Winm.exe、Msdepw32.dll、Msdtv.dll。

　　2.删除掉HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的键值Windows main module="%Windows%\Inf\Winm.exe"。

　　3.删除掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的键值Windows main module="%Windows%\Inf\Winm.exe"。

　　4.删除掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中的键值Windows main module="%Windows%\Inf\Winm.exe"。

　　5.删除掉HKEY_USERS\Win98\Software\Microsoft\Windows\CurrentVersion\Run中的键值Windows main module="%Windows%\Inf\Winm.exe"。

　　6.升级杀毒软件，进行彻底查杀。