唐朝病毒现身网络
数码时尚
由于网络快速普及,像爱虫、2003蠕虫王这些蠕虫病毒越来越引起人们的注意,大家已对他们加紧了防范。而我们以前在单机上经常遇到的宏病毒似乎销声匿迹了。其实不然,新型的宏病毒已发生了很大的变化,具有了通过网络和IRC软件传播的特点,破坏性比以前增加了。下面要介绍的唐朝病毒(Macro.Tang.Zed)就是一个具有蠕虫特性的宏病毒。
病毒名称:唐朝病毒(Macro.Tang.Zed)
病毒类别:Worm Tang.A,Win32/Tang.Worm,Win32.Cian.Dworm
病毒类型:宏病毒
警惕程度:高
发作时间:随机
传播方式:电子邮件、IRC、Word/Excel文件
感染对象:Word/Excel文件、BAT文件
病毒特征
该病毒专门感染微软的Word、Excel文件和BAT批处理文件,并具备通过电子邮件、IRC、文件共享进行传播的能力。被感染的Word和Excel文件在注册表中设置如下键值:HKEY_CURRENT_USER\Software\Zed/[rRlf]\W32/TaNG\Macro\Installed="1",同时在系统的System目录下的MSTngmgr32.ocx文件中,病毒邮件主题通常具有诱惑性,如“告诉你一个重要的提示”、“推荐MP3网址、屏保”、“密码破解”、“Hotmail密码”等,并有可执行的附件程序。如果你运行了附件里的程序,系统会显示“*.exe不是可用的win32程序”的错误提示,这是可能你以为该程序只是不能正常运行而已。殊不知,病毒在System、Windows目录下已复制了大量的病毒文件。该病毒为了保证每次随系统启动,在注册表中写下如下键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Mstng32="%system%\MSTng32.exe"。然后病毒会往Outlook地址发送大量病毒邮件,占用大量的系统资源,并且在系统里寻找特定的IRC软件目录,覆盖掉音乐、视频及Office文件。该病毒还会向网络驱动器发送License.exe文件,造成网络大面积感染。
病毒的清除和MS Office的修复
1.打开任务管理器,终止MSTnglnk.exe文件的进程。
2.在系统中查找MSTnglnk.exe文件,将它删除。
3.打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除掉Mstng32="%System%\MSTng32.exe";删除键值HKEY_CURRENT_USER\Software\Zed/[rRlf];找到HKEY_CURRENT_USER\Software\MeGALiTH Software\,删除键值Event17="dcc send$nick %Windows%\Notice.pif"。
4.防范该宏病毒的一个好方法是设置宏的安全等级。在Word、Excel的工具菜单中,选择“宏”,在二级菜单中选择“安全性”,在弹出的设置窗口中将安全等级设为“高”。
5.安装具有邮件监控功能的杀毒软件,防止病毒通过E-mail传播。
6.如果模板文件Normal.dot被感染,首先删除掉它,然后重新启动Word,即可生成新的模板文件。
7.升级杀毒软件,进行彻底查杀。