前一阵,各种网络蠕虫借助Internet四处传播,近日闹得比较凶的要算I-Worm/Sobig(好大,也叫巨无霸)。
你是否收到了病毒
翻翻你的邮件信箱,这么多邮件,到底哪一封是病毒邮件呀?看仔细了,就是这封了(如图1),从中我们可以看出该网络蠕虫的一些基本特征。
图1 这就是Sobig啦
病毒基本特征:
发件人是:big@boss.com
邮件的主题是:ReSample
文件大小:整个网络蠕虫邮件的大小是88.5KB,但实际上该网络蠕虫的大小是65536字节,也就是附件文件的大小
这里演示的附件是:Untitled1.pif
邮件的正文是:Attached file
千万不要认为是所谓的“大老板”发来的一个什么指令文件而贸然打开附件,其实它就是最新的网络蠕虫I-Worm/Sobig。当然你收到的邮件可能有所不同,但是邮件的发件人big@boss.com 是不变的,同时附件的文件名称也可能变化,但是文件的大小是不变的。还有不变的是邮件的主体内容,而该文件的主题也可能是变化的。
防患未然
只要开启了《KV江民杀毒王2003》的邮件监视,当收到含有该病毒的信件,《KV江民杀毒王》的邮件监视功能就会自动报警,并以类消息的方式来通知用户。
图2 邮件监视
开启邮件监视的方法很简单,只要在“邮件监视”前打对勾即可(如图2)。
图3 发现病毒
当邮件监视发现“好大”病毒时,会出现图3的窗口,报告发现病毒。
图4 提示报警
实际上,如果用户开启了《KV江民杀毒王2003》的邮件监视功能,收到的会是如图4的一个文本文件——KV!.txt,而原网络蠕虫的主体被隔离,详细的描述信息在该纯文本文件中。
亡羊补牢
当机器已经感染了该网络蠕虫后,可以安装最新版本的《KV江民杀毒王2003》来查杀病毒。安装成功后,首先要扫描系统内存,系统内存扫描没有发现病毒后,才能扫描文件中的病毒。该病毒在Windows的目录下生成的文件winmgm32.exe 是必须删除的;当然对于系统注册表的修改部分:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中增加的键值WindowsMGM 是必须删除的。
这里讲了利用《KV江民杀毒王2003》的邮件监视功能防范I-Worm/Sobig“好大”的方法。实际上用《KV江民杀毒王》的“内存监视”、“文件监视”、“注册表监视”等监视功能都能拦截该病毒。这里主要讲的是“邮件”特性,该病毒还具有“网络特性”,同时能传染局域网的共享目录(属于文件监视范畴)。运用好《KV江民杀毒王2003》的各种监视功能与直接清除病毒功能就能很好地拦截与清除该病毒。
关于Sobig蠕虫病毒:该病毒采用MSVC编写,能通过邮件和局域网来传播,病毒传播发送的邮件地址是通过读取指定的可能含有E-mail地址的文件内容来获得的,可感染局域网里的所有机器,造成局域网瘫痪。
(责任编辑:郁单曰)
