email　worm.win32病毒的專殺介紹--virus　kill

鐲。 2007-02-13

展開全文

<email worm.win32病毒的專殺介紹>安天CERT截獲一個(gè)可疑文件，經(jīng)過詳細(xì)分析最終確認(rèn)為新的蠕蟲，命名為Worm.Win32. RavMon。該病毒借助U盤等移動存儲設(shè)備進(jìn)行廣泛傳播，因此其能夠在高校以及公司類的環(huán)境中任意橫行。
感染該病毒后，打開存儲設(shè)備明顯變慢，并在所有驅(qū)動器下生成名為ravmone.exe或ravmonlog.exe.log的文件，文件長度為3,513,806 字節(jié)。當(dāng)病毒運(yùn)行后，會在%windir%\目錄下生成RavMon.exe文件(文件名與瑞星實(shí)時(shí)監(jiān)控程序一模一樣)，因此安天CERT小組將其命名為Worm.Win32.RavMon。
病毒隨后修改注冊表，添加啟動項(xiàng)以達(dá)到隨系統(tǒng)啟動的目的。
該蠕蟲嘗試收集感染主機(jī)信息，包括主機(jī)名、系統(tǒng)版本等。如果系統(tǒng)為Windows XP，病毒會運(yùn)行“netsh firewall delete portopening TCP”以刪除防火墻端口配置協(xié)議中的傳輸控制協(xié)議，進(jìn)而降低系統(tǒng)的安全性。
該蠕蟲使用腳本語言編寫，且經(jīng)過加密處理。其具有網(wǎng)絡(luò)行為，可以訪問特點(diǎn)網(wǎng)址，發(fā)送獲取到的系統(tǒng)信息；還能結(jié)束某些反病毒及安全類軟件進(jìn)程。
解決方法：
（1）下載一個(gè)07版的金山毒霸,在安全模式下方可徹底清
解決方法（2）：（建議使用07版的金山毒霸免費(fèi)版效果最好）
使用木馬防線2005+的用戶能夠清除該病毒，不受該蠕蟲的影響。

本站是提供個(gè)人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：鐲。 > 《我的圖書館》

舉報(bào)/認(rèn)領(lǐng)