紧急约会“七月杀手”
#1 一、病毒的机理分析
“七月杀手”是一个宏病毒,和别的宏病毒感染途径一样,也是通过Word等文件传播。所不同的是,此病毒侵入系统后,除了感染normal.dot外,还会把自身复制一份起名为autoexec.dot的文件放到C盘的根目录下,以后Word每次启动都会调用它。另外,它还会屏蔽掉Word的工具菜单里的有关菜单项,使我们无法通过这些菜单项来查看它的源代码。每次病毒被激活后都会判断当前月份,如果是7月,则会弹出一个名为“醒世恒言”的对话框,并且要求你同意它的反动观点,如果点了“非常正确”的按钮,则会暂时无事,如果你不同意其观点,病毒将修改你的autoexec.bat文件,将其内容改为“deltree.exe /y c:”,其结果是将在下次系统启动时删除你C盘下的所有文件。
#1 二、病毒的预防
经常使用反病毒软件查杀病毒是最有效的办法,某些软件的“病毒防火墙”功能的作用总是没有广告上宣传的好,我到现在也没发现一款特别有效的能百分百防住“七月杀手”的反病毒软件。另外,一个简便有效的,也是应急的办法就是把位于windows\command目录下的deltree.exe文件删掉或改名,这样的话,即使病毒发作,也不至于到手忙脚乱的地步。
#1 三、病毒发作后的处理
一般来说,病毒发作后C盘的文件应该被全部删除的。不过,从笔者修复的这几台机器来看,C盘上的东西都没有被全部删除。比较明显的是Windows的command目录已被删除。笔者分析原因,可能是操作者遇到病毒袭击后比较及时地关闭了机器的电源,才使损失降到最小。这样的话,只要重新安装Windows 98,可以恢复大多数应用程序。不过,需注意一点,要用升级版的Windows 98安装盘,不要使用OEM版的,辨别办法是查看光盘下部有无“本产品适用于未装操作系统的机器”等类似字样,有为OEM版。
下面是具体修复步骤:
1.先用一张Windows 98启动软盘启动机器。
2.然后运行sys c:向C盘传送系统。
3.删掉C盘上的autoexec.bat文件。
4.重新安装Windows 98。如果这时使用的是OEM版的98安装盘,将会提示“此计算机已有操作系统,不能安装”的提示。
装完Windows 98以后,试一试有没有不能正常运行的程序。笔者修复的这几台机器,基本上和被病毒破坏以前的环境差不多,只有一台机器启动后的界面只有16色,估计是显卡驱动被病毒删了,遇到这种情况重新安装显卡驱动就行了。如果C盘文件全部被病毒清扫干净,这就需要重新安装全部应用程序了。
#1 四、后话
由于我单位内部装有局域网,除了公文传递以外,各部门间的联系使用E-mail也非常普遍,而且都习惯在附件中放入一个Word文档。这样在方便的同时,也带来了宏病毒的泛滥。常常是杀干净了本地机器的病毒,一上网看邮件,不留神又带了病毒回来。对于类似情况的预防,还是要经常作好重要数据的备份,省得到时候哭鼻子。