|
这种病毒在国内网上聊天室传播时被发现了,其病毒名为VBS.Tune和 VBS.TUNE.B病毒,简称为“歌虫”病毒。病毒长度为6689字节和7249字节。 病毒扩展名为.VBS,传染WINDOWS95/98/NT/2000系统。 该病毒在传染开始时,将自身拷贝多份到以下的子目录中: WINDOWS\SYSTEM\tune.vbs WINDOWS\SYSTEM\kernel.vbs WINDOWS\SYSTEM\explorer.vbs WINDOWS\tune.vbs WINDOWS\winsck.vbs TMP\tune.vbs 该病毒为了使自己每次重新启动时都能运行,而修改了注册表: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ScanRegistry\,tune.vbs HKLM\Software\Microsoft\Windows\CurrentVersion\Run\, tune.vbs HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\,tune.vbs 该病毒为了使自己每次重新启动时都能运行,还修改了系统文件: win.ini,[windows],load,kernel.vbs win.ini,[windows],run,winsck.vbs system.ini,[boot],shell,Explorer.exe 该病毒查找已感染的机器上的所有盘符,并将自己拷贝到每一个当前盘符及网络盘的根目录下。 所以,该病毒在机器内(局域网)每个盘里都有。 如果安装了MICROSOFT OUTLOOK的话,病毒检查注册表值: HKCU\Software\Microsoft\Windows\CurrentVersion\Sent? 如果没有找到的话,就建立该值,接着试图将给每个地址薄里的人发送如下信息的邮件: Subject: Please Read (主题:请阅读) Body: Hey, you really need to check out this attached file I sent you...please check it out as soon as possible. (邮件内容:喂,你最好尽快检查一下我给您发的电子邮件) 该MAIL也含有附件文件:TUNE.VBS. 请上网收电子邮件的用户不要轻易打开有上述特征的邮件! 如果MIRC(聊天室)安装在目标计算机的默认目录C:\MIRC,该病毒就会修改系统初始文件: c:\mirc\script.ini c:\mirc\mirc.ini 与此同理的是,如果Pirch98安装在目标计算机的默认目录c:\pirch98 的话,病毒采用相同的办法修改系统 c:\pirch98\events.ini c:\pirch98\pirch98.ini [DCC] 病毒以使得每次一个新IRC用户加入一个受感染的用户频道的话,那么就会通过DCC给该用户发送一份tune.vbs文件。 修复方法: 1.找出上述所有的.vbs文件并将其删除; 2.删除增加的注册表中的相应的值; 3.删除增加的系统文件的相应的值; 4.如果可能的话,恢复MIRC及PIRCH98的系统初始化文件(用干净的备份文件来覆盖已感染的文件)。 c:\mirc\script.ini c:\mirc\mirc.ini c:\pirch98\events.ini c:\pirch98\pirch98.ini 5.将所有的含有该病毒的邮件从您的邮件系统中删除掉。 6.手工修复繁琐,最好用KV300查杀。 7.上网聊天时,可别忘了安装KVW3000实时监测防火墙,它可有效的防止该病毒及其变种的入侵。 |