假冒MP3音乐的“燕子”病毒
黑客营
歌手孙燕姿深受网民欢迎,她的MP3音乐在网上也经常能看到,笔者发现最近新出现一种蠕虫病毒“燕子”(Worm.Yanz.b),竟然在冒充她的歌迷大量发送病毒邮件,邮件内容名为推荐她的新歌,实为下载木马盗取用户的信息。
一、病毒特征
系统感染该病毒后,它会在.adb 、.asp 、.dbx 、.doc 、.htm 、.html 、.jsp 、.rtf 、.txt 、.xml等类型文件中搜索电子邮件地址,然后通过电子邮件方式进行传播。病毒文件名主要仿冒孙燕姿的歌曲名,以诱使用户打开运行。为了隐藏自己,运行时会弹出一个写着“No Windows. Yes doors and holes”内容的对话框(图1)。病毒还会尝试下载一个键盘记录木马(Win32.Troj.AKL),用来窃取用户的信息。此外蠕虫还会复制病毒文件到共享文件夹中,通过P2P软件进行传播。
二、清除方法
1.在金山网镖防火墙开启的网络状态下,查找“NvCpl.EXE”和“Sun.exe”两个文件,找到后点击“打开程序所在目录”,然后按下“结束进程”按钮终止它们的运行。你也可以直接重启电脑到安全模式下进行下一步。
2.删除系统目录下的“NvCpl.EXE”、“Dong_Shi.exe”、“I_am_Sun_Yanzi.sysa”、“Huai_Tian_Q1.sys”和“Sun.exe”几个病毒文件。接着利用Windows查找功能,搜索并删除“Sun_YanZI.zip”、“YanZi.vbs”和“Yanzi.htm”三个文件,它们的路径一般为C盘根目录以及Windows目录。
最后检查所有共享文件夹和含有“SHAR”字母的文件夹,一旦发现里面带有“SunYanZi”字样的文件就全部删除。这些文件一般采用双后缀名,例如“SunYanZi.mp3.exe”、“Sun_YanZi-Leave_me_alone.mp3.exe”等。由于病毒在系统中释放的病毒副本比较多,没有经验的朋友可以登录http://scan.kingsoft.com/scan_sd.htm,使用金山免费的在线查毒服务对硬盘进行扫描,然后删除。
3.打开注册表编辑器,删除病毒在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下添加的启动键值"NvCpl"=%System%\NvCpl.EXE。
三、防范措施
1.创建邮件规则拦截病毒邮件:打开金山毒霸“工具→邮件规则编辑器”,点击“新建”,在规则名称中输入“拦截‘燕子’病毒”;在“规则条件”中选中“附件名”,然后在规则描述中点击带下划线的文字,分别输入.pif,、.scr,、.zip、Sun_YanZi 等进行“添加”。接下来在“规则条件”中选中“邮件标题”,单击“包含指定的内容”,分别输入Forever Sun Yanzi、Great_Asia_Singer、I_hate_Spyware、Sun-YanZi-Mp3-Archive 等,“添加”后退出。当再遇到主题和附件名含有以上内容的邮件时,将被当做有害邮件自动过滤掉(图2)。
2.打开资源管理器,在“工具→文件夹选项→查看”中取消“隐藏已知文件类型的扩展名”。这样可以及时发现那些为双后缀的病毒文件,例如“.mp3.exe”、“.avi.exe”等。
3.关闭系统中的共享文件夹,或者经常查看金山网镖“共享管理”中的信息,如果发现可疑用户立刻中断。