“赛文”病毒肆虐网络

数码时尚

贺锐

　　现在的互联网似乎没有安宁的时候，才送走了“冲击波”病毒，网民们刚刚松了一口气，突然网络上又出现了一个称之为“赛文”(Worm.Swen)的蠕虫病毒。

　　病毒特征

　　该病毒利用了IE的iframe漏洞，利用电子邮件、点对点工具及聊天的文件共享功能进行传播。它多以退信或微软公司发布的补丁升级程序的形式来迷惑用户，并在不打开附件的情况下自动进入系统，进行感染。病毒附件名以P、Q、U、I开头，它会显示一个下载升级服务包的窗口(如图所示)。无论用户选择“是”或“否”，病毒都会将它植入系统内。为了麻痹用户，它甚至会显示不同的下载窗口和出错窗口。

　　病毒还会将自身复制为一个随机名称的可执行文件，保存在Windows目录中，另外它还会生成“<计算机名>.bat”、“germs0.dbv”、“germs1.dbv”、“swen1.dat”文件。和其他多数蠕虫病毒一样，它会在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”中生成一个形如“<随机键名> = "<随机名称>.exe autorun”的键值。病毒还将EXE、REG、SCR、COM、BAT、PIF的文件关联修改成与病毒文件相关联，确保当执行这些后缀名的文件时，病毒能被启动。最为可恶的是病毒将注册表编辑功能禁止了，并向它指定的新闻组发送带病毒的邮件，而且它在运行时会清除掉众多杀毒软件的程序进程，使系统失去任何防护。

　　手工清除病毒

　　1.终止病毒运行进程

　　使用已经更新了的最新版杀毒软件进行扫描、查杀。有可能有些文件正在运行，因此杀毒软件无法清除，这时需要打开任务管理器，找到杀毒查出的程序，并终止它。

　　2.恢复注册表的文件关联

　　由于病毒的感染，造成注册表不能正常被编辑，我们必须要先恢复它。

　　(1)在Windows 95/98/ME中，双击“我的电脑”，选择“查看”，在下拉菜单中点击“文件夹选项”，然后选择“类型”标签页。在“已注册的文件类型”中选择“注册表项”，单击“编辑”按钮，选择“导入”，再“编辑”按钮，输入Regedit.exe“%1”，关闭所有窗口。

　　(2)在Windows NT/2000/XP中，双击“我的电脑”，选择“工具”菜单下的“文件夹选项”，选择“文件类型”标签页，在“已注册的文件类型”中选择“注册表项”，点击“更改”按钮，这时会有一个窗口弹出。选择“注册表编辑器”，点击确定。

　　3.恢复注册表编辑功能

　　病毒在感染系统后禁止了编辑注册表，并且修改.exe/.reg/.scr/.com/.bat/.pif文件的关联，因此造成系统不正常，也需要恢复。新建一个文本文件，并存为Restore.reg，在该文件中编辑如下命令(针对Win98系统)：

　　REGEDIT4

　　(此处为空行)

　　[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Policies\System]

　　"DisableRegistryTools"=dword:00000000

　　[HKEY_CLASSES_ROOT\batfile\shell\open\command]

　　@="\"%1\" %*"

　　[HKEY_CLASSES_ROOT\comfile\shell\open\command]

　　@="\"%1\" %*"

　　[HKEY_CLASSES_ROOT\exefile\shell\open\command]

　　@="\"%1\" %*"

　　[HKEY_CLASSES_ROOT\piffile\shell\open\command]

　　@="\"%1\" %*"

　　[HKEY_CLASSES_ROOT\regfile\shell\open\command\]

　　@="regedit.exe \"%1\""

　　[HKEY_CLASSES_ROOT\scrfile\shell\config\command\]

　　@="\"%1\" %*"

　　[HKEY_CLASSES_ROOT\scrfile\shell\open\command]

　　@="\"%1\" /S"

　　编辑完毕后加以保存，然后双击该文件，将它导入注册表中。

　　4.禁止病毒自动运行

　　打开注册表编辑器，双击“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run”，找到前面步骤中查到的可疑程序的相关键值，将它删除。同样删除掉在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”中的相关键值。在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\explorer”中删除如下键值：

　　Install Item = "<随机字符>"

　　Unfile = "<随机名称>.wgt "

　　CacheBox Outfit = "yes"

　　ZipName = "<随机字符>"

　　Mirc Install Folder = ""

　　Installed = "... by Begbie"

　　Kazaa Infect = "yes"

　　5.删除其他感染文件

　　在Windows目录中删除掉如下文件：<计算机名>.bat、germs0.dbv、germs1.dbv、swen1.dat。

　　由于该病毒手工清除较麻烦，大家可以在http://www.duba.net/download/3/94.shtml下载专杀工具。