中新網(wǎng)3月24日電 網(wǎng)絡(luò)安全公司江民科技最新截獲一種名為“世貿(mào)中心”(W32/HLLW.Der)網(wǎng)絡(luò)蠕蟲(chóng)病毒,該病毒是一種郵件蠕蟲(chóng),大小為61,440字節(jié),感染的有效系統(tǒng)為除Windows 3.x外的所有Windows操作系統(tǒng)。
病毒通過(guò)MS Outlook傳播,把它自己發(fā)送給Windows地址薄中的所有聯(lián)系人。郵件主題:<收件人姓名>, WORLD TRADE CENTER PICTURES(世界貿(mào)易中心圖片)郵件正文:<收件人姓名>, Remember The Times.......MAYBE THEY WILL BE BACK....!!!(記住這個(gè)時(shí)間,或許歷史會(huì)重演)附件:WTC32.scr
該病毒在美伊交戰(zhàn)的第一天出爐,似乎是提醒美國(guó)不要忘記9.11事件帶給人類的災(zāi)難,停止一切戰(zhàn)爭(zhēng)行為。
江民反病毒專家介紹,蠕蟲(chóng)運(yùn)行時(shí),會(huì)修改注冊(cè)表,增加自啟動(dòng)項(xiàng),同時(shí)把ie的主頁(yè)修改為c:\windows\WTC32.scr,把自己拷貝到以下路徑C:\Windows\WTC32.scr;C:\Windows\Notepad.exe;C:\Autorun.com。
“世貿(mào)中心”病毒一旦被觸發(fā),即開(kāi)始自動(dòng)全盤搜索硬盤中的文件,如果找到了.exe或.scr文件,蠕蟲(chóng)會(huì)用它自己覆蓋這些文件,如果找到了下面這些文件wav、mp3、jpg、bmp、zip、rar、doc,它會(huì)首先刪除原始文件,然后用原來(lái)的文件名加上擴(kuò)展名.exe,并把自己拷貝到這個(gè)文件,例如,如果存在文件sing.mp3,蠕蟲(chóng)會(huì)先刪除這個(gè)文件,然后把它自己拷貝到sing.mp3.exe。
“世貿(mào)中心”病毒把自己發(fā)送給Windows地址薄中的所有聯(lián)系人,然后向注冊(cè)表中增加下面鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionWtcSnd 1,顯示一個(gè)對(duì)話框,在C:\Windows\System32文件夾創(chuàng)建許多它自己的拷貝。
江民公司提醒用戶,及時(shí)更新升級(jí)KV江民殺毒王2003至最新版本,打開(kāi)六套實(shí)時(shí)監(jiān)控系統(tǒng),就可對(duì)此病毒進(jìn)行有效地前殺和清除。另外,江民公司網(wǎng)站已正式推出病毒庫(kù)離線增量升級(jí)包,沒(méi)有條件上網(wǎng)的用戶可以在其它機(jī)器上下載病毒庫(kù)進(jìn)行增量升級(jí)。