荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: louvis (芦苇), 信区: Virus
标  题: "罗密欧与朱丽叶”网络蠕虫程序的清除
发信站: BBS 荔园晨风站 (Thu Dec 21 18:02:08 2000), 转信



  I_WORM.Blebla.B网络蠕虫是通过电子邮件的附件来发送的,文件的名称是:
xromeo.exe 和xjuliet.chm,该蠕虫程序的名称由此而来。

  和其他蠕虫程序不同的是,它能自动执行附件的文件xjuliet.chm, 然后由该
附件来调用可执行文件xromeo.exe,该蠕虫程序正是利用该可执行程序来实现其自
动的传播功能的。这些程序文件被自动存放在WINDOWS的临时文件夹TEMP中。

  当用户在使用OE阅读信件时,这两个附件自动被保存、运行。 当运行了该附
件后, 该蠕虫程序将自身发送给OUTLOOK地址薄里的每一个人,并将信息发送给
alt.comp.virus 新闻组。该蠕虫程序是以一个EMAIL附件的形式发送的,信件的主
体是以HTML语言写成的,并且含有两个附件:xromeo.exe及xjuliet.chm.收件人本
身看不见什么邮件的内容。邮件的主题从以下的项目中随机抽取的:

  * Romeo&Juliet
  * where is my juliet ?
  * where is my romeo ?
  * hi
  * last wish ???
  * lol :)
  * ,,...
  * !!!
  * newborn
  * merry christmas!
  * surprise !
  * Caution: NEW VIRUS !
  * scandal !
  * ^_^
  * Re:

  该蠕虫程序可以在WINDOWS 95/98系统下传播,而赖以传播的基础还有带有安
全漏洞的OUTLOOK EXPRESS 5.0,更高版本的OE则没有该漏洞,蠕虫程序也就不能
传播。 但是该蠕虫程序不能在WINDOWS NT及WINDOWS 2000系统下传播。

  该蠕虫程序含有自身的发送邮件的功能,并使用了一些IP地址的服务器作为自
己的邮件服务器来发送这些邮件。

  Xromeo.exe运行后,试图将WINDOWS下的进程HH.EXE终止,从而隐藏自身的存在及活动
情况。


  该蠕虫程序的危害性还表现在它还能修改注册表一些项目,使得一些文件的执
行,必须依赖该蠕虫程序生成的在WINDOWS目录下的SYSRNJ.EXE文件,由此可见对于
该病毒程序的清除不能简单的将蠕虫程序删除掉,而必需先将注册表中的有关该蠕
虫的设置删除后,才能删除这些蠕虫程序。

  该病毒控制的文件的扩展名称分别是:.exe;.jpg; .jpeg;.jpe;.bmp;.
gif;.avi;.mpg;.mpeg;.wmf;.wma;.wmv;.mp3;.mp2;.vqf;.doc;.xls;
.zip;.rar;.lha;.arj;.reg。当带有这些文件扩展名称的文件被执行后,该蠕
虫程序将该文件以一个随机的文件名称的方式,将该文件移动到系统的回收站中,
并将被执行的文件以蠕虫程序本身来代替,只不过文件的名称被加上一个EXE的扩
展名称。比如:japan.xls文件在该蠕虫程序活动时被执行的话,会该名称为
japan.xls.exe(蠕虫程序自身),同时在C:\RECYCLED目录下生成一个japan.xls文
件的副本,文件的名称被更改为随机的文件名称。显然您想打开的XLS文件不能打
开。所有的被改名成EXE文件的文件的大小都是34304字节,而SYSRNJ.EXE文件的大
小是:98816字节。

使用KV3000来清除该蠕虫程序的方法:
  (1)升级您的KV3000到最新版本C+版,使用F1查所有的盘,检查I_Worm/.
Blebla.B病毒程序。
  (2)在WINDOWS系统下启动注册表REGEDIT编辑工具 ,将注册表中所有的关于
SYSRNJ.EXE的字符串删除;
  (3)使用KV3000(C+)来清除所有查出有I_Worm/.Blabla.B的网络蠕虫程序

  (4)升级您的KVW3000(KVD3000)的最新查杀病毒数据库文件KV3000U.LIB(
文件的大小是143530字节)使用KVW3000在WINDOWS下,或者使用KVD3000在DOS下查
杀该蠕虫程序。
  (5)对于邮件包中含有的I_worm.Blebla.b病毒, 必须将相应的信件删除。
同时压缩所有的文件夹。
  (6)在系统不能正常启动时,或者出现对话框找不到sysrnj.exe文件而不能
启动等不正常的信息提示时, 可以运行马上运行系统的注册表恢复工具软件
scanreg.exe.该程序是一个在纯DOS下可以运行的应用程序,运行 它可以选择恢复
系统保留的最近5次(默认参数)的启动成功后保留的注册表信息。
  (7)升级您的OE5的安全漏洞文件,使含有该附件程序的文件不能自动执行,
或者升级您的OE5到OE5.01或以上的版本。
  (8)启动KVW3000的实时监测功能,当预览或者打开带有该病毒的邮件时,
KVW3000的实时监测功能会自动报警,您可以禁止打开带有该病毒的信件。
  (9)当所有的办法都不能成功启动计算机,计算机始终提示:无法找到
sysrnj.exe文件的话,可以咨询江民公司热线电话:8008102300。


--

FTP://192.168.1.236

※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.236]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店