「愛麗茲」病毒

標籤: 暫無標籤

10

更新時間: 2013-09-05

廣告

「愛麗茲(ALIZ)」一個童話中的的名字,現在卻成為一個新病毒的代名詞,可見病毒現在的種類之多。「愛麗茲(ALIZ)」是現在流行的蠕蟲病毒的一個變種,但是與以往的蠕蟲病毒不同的是它的體積更小(不足4K)、手段更高明(不用打開郵件即發作),讓用戶在不知不覺中中毒,從而給用戶和網路系統造成危害。

「愛麗茲」病毒 -病毒名稱:
Aliz

「愛麗茲」病毒 -病毒類型:
蠕蟲

  病毒介紹:這個病毒又是利用微軟IE漏洞來進行侵害,歐洲、日本、及中國已經傳出災情。遭受感染的系統,會利用IE里的通訊簿,再度寄發大量郵件,造成企業郵件伺服器被阻塞,以及用戶的系統資源被大量佔用,造成死機。該病毒體積極小,只有不足4K,用戶一般不以察覺,再加上它不需用戶打開郵件即可發作,所以用戶需格外注意。

「愛麗茲」病毒 -發作時間:
隨機

「愛麗茲」病毒 -發作現象及解決方案:


  該病毒的發作的情況很象Nimda,它又是利用了IE的一個安全漏洞-----IE的預覽功能,當閱讀或預覽該郵件時,該病毒就會被自動執行。它遍歷OutLook的地址薄,對所有地址發信。不過該病毒不駐留在系統中,不傳染磁碟上的文件。沒有表現模塊。所以用戶只需將其查殺或關機后重啟計算機即可清除。

  該病毒有點象Nimda,它利用了IE的一個安全漏洞-----IE的預覽功能,當閱讀或預覽該郵件時,該病毒就會被自動執行。它遍歷OutLook的地址薄,對所有地址發信,內容如下:

「愛麗茲」病毒 -標題:(
由5個字元串組合而成)

str1 str2 str3 str4 str5  str6  str7  str8-------------- ------------- -------------------- ------------------ Fw: Cool website to check !! Fw: Re: Nice site for you ! then: Hot PICS i found :-) some urls to see ?! Funny pictures here hehe ;-) weird stuff - check it funky mp3s great shit Interesting music many info
「愛麗茲」病毒 -正文:
peace
「愛麗茲」病毒 -附件:
whatever.exe

  該病毒不駐留在系統中,不傳染磁碟上的文件。沒有表現模塊。病毒體內有以下內容:

  :::iworm.alizee.by.mar00n!ikx2oo1:::

  while typing this text i realize this text got added on many av description sites, because this silly worm could be easily a hype. i wonder which av claims '【companyname】 stopped high risk worm before it could escape!' or shit like that. heh, or they boycot my virus because of this text. well, it is easy enough for the poor av's to add this worm; since it was only released as source in coderz#2... btw, loveletter*2 power in pure Win32Asm and only a 4k exe file. heh, vbs kiddies, phear win32asm. :) thx to: Bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx & sweet gigabyte...btw,burgemeester van sneek: ik zoek NOG een baantje...(alignmentfillingtext)

=========================================================================================

Win32/Aliz「愛麗茲」病毒是一個通過SMTP引擎來發送帶病毒郵件的病毒,使用彙編語言編寫,並壓縮過。該網路蠕蟲傳播的病毒附件大小約是4096位元組。文件名稱是:whatever.exe。

含有病毒郵件的主題是隨機的,是由以下的五部分中的任意選擇一個形成的,因此需要用戶在收到類似的信件時特別注意。這5部分分別是:

(1) Fw: 和 Fw: Re: (2種)

(2)Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many(10種)

(3)website、site、pics、urls、pictures、stuff、mp3s、shit、music、info(10種);

(4)to check、for you、i found、to see、here、- check it(6種);

(5)!!、!、:-)、?!、hehe ;-) (5種)

從以上的分析可以看出,郵件的主題可能有6000種之多,舉一個例子是:

Fw: Cool website to check !!.

傳播病毒的郵件地址是從以下的註冊表鍵值來獲得:

HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name,典型的默認值是:

C:\WINDOWS\Application Data\Microsoft\Address Book\默認.wab。

發送至SMTP伺服器的通過查找註冊表鍵獲得:

\HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001查找其中的SMTPServer的數值來確定的,而郵件的正文只有一個單詞:peace (和平)。

病毒的清除:

1、如果用戶的硬碟分區是WIN98、WINDOWS NT4、WINDOWS 2000、WINDOWS XP的NTFS格式,請用戶安裝KVW3000 5.0以上版本,該版本可在任何WINDOWS系統下查殺內存和被WINDOWS已經調用的染毒文件,可在系統染毒的情況下殺除病毒。

2、如果用戶硬碟裝的操作系統是WINDOWS 98之前版本,也可使用乾淨DOS軟盤啟動機器。

3、執行KVD3000.EXE或KV3000.EXE,查殺所有硬碟中的病毒。

4、為了預防該病毒在瀏覽該帶毒信箋可以自動執行的特點,必須下載微軟的補丁程序。地址是:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp,可預防此類病毒的破壞。

5、WINDOWS 2000如果不需要可執行的CGI,可以刪除可執行虛擬目錄,例如:/scripts等等。

6、如果確實需要可執行的虛擬目錄,建議可執行虛擬目錄單獨在一個分區。

7、開啟KVW3000實時監測病毒防火牆。

8、再將郵箱中的帶毒郵件一一刪除,否則又會重複感染。

廣告

廣告