流行病毒热报(36):SP2杀手来了
网络通信
近段时间,电脑用户最关注的除了奥运就是微软发布的Windows XP SP2补丁了。D版用户也开始刻意搜索或留意相关破解的内容,但笔者在这里提醒大家特别注意,一种名为SP2杀手(Worm.Pikis.b)的病毒正伪装成SP2补丁的破解程序,通过局域网和电子邮件悄然进行传播。
病毒特征
SP2杀手病毒正是利用了人们对微软Windows XP SP2补丁的好奇心和D版用户迫不及待升级的心理,来欺骗用户下载运行的。病毒首次运行时,会显示一个消息框“Install Crack for WindowsXP SP2 99.006.34?”,当用户点击“Yes”按钮之后,会提示“Not found package Windows XP SP2!”,其实这些都是假象,用来掩护病毒的激活。
它可以感染Windows 9X/NT/2000/XP系统,在C盘和D盘文件中收集电子邮件地址,然后向这些地址发送带毒邮件。邮件内容一般为“Install package. Enjoy!”、“Access Denied!!! Please enter password:JJJK56RtE and install pack”等。
当系统时间大于等于23日时,病毒会对某网站进行DoS攻击,这样会严重消耗系统资源并影响机器运行速度。另外病毒还会枚举局域网资源,尝试连接到目标系统并复制过去,路径为\C$\porno.exe,以达到传播目的。
清除方法
1.上网时请打开金山网镖等网络防火墙,如果发现有陌生的程序“systems.exe”发送网络请求,就禁止它的访问权限。然后通过任务管理器或直接在金山网镖中结束它的进程。
2.通过网络状态可以查看到程序所在路径,也可利用查找功能搜索系统目录,找到后删除病毒文件,一共四个文件分别为“CRACK_BAT.EXE、SYSTEMS.EXE、IQ.DAT、FTTP.EXE”。
3.该病毒并没有采用通常的在注册表中添加启动项来达到随机启动的目的,而是修改了系统文件“system.ini”。你可以在“运行”中输入“msconfig”打开系统配置实用程序,在其中的“[boot]”小节的“shell”下,去掉“systems.exe”选项前的钩。
防范措施
1.更新你的杀毒软件。上网时同时打开病毒防火墙、网络防火墙和邮件防火墙(最好开启邮件双向扫描,以防止感染其他用户)。
2.为了防止收到带毒的邮件,应设好病毒邮件过滤规则。以金山毒霸6为例,打开“工具→邮件规则编辑器”,点击“新建”,在规则名称中输入“拦截SP2杀手(Worm.Pikis.b)病毒”;在“规则条件”中选中“附件名”,并在规则描述中点击带下划线的文字,分别输入“.exe、GetAdmin.exe、Setup.exe、Crack.exe”等进行添加,确定后退出。然后在“规则条件”中选中“邮件标题”,单击“包含指定的内容”,分别输入“Hello、Forum、Crack”等,“添加”后退出。一条可以防范SP杀手病毒的邮件规则创建完毕。当遇到主题和邮件附件文件名含有以上内容的邮件后,邮件将被当做有害邮件自动过滤掉。
提示:需要在“综合设置→邮件防火墙”中选中“自动过滤垃圾邮件”。