该病毒的特点是:能够通过电子邮件、文件传染和网络共享的方式来传播。它集合了目前流行的大多数病毒的传播、传染方式:既有传统的文件感染方式,也有时髦的电子邮件、网络共享等的传播方式。这也可能是将来新病毒的发展方向。当通过电子邮件来传播时,主要影响的是使用OUTLOOK express的用户(当然是没有打补丁的IE),该病毒利用的是通过邮件预览就能发作的特点来传播的。
该网络蠕虫邮件主题、附件名都是随机的,该网络蠕虫程序会自动搜索WINDOWS的地址薄、ICQ的数据库文件等来搜索能传播的Email邮件地址,并将自身附着在发送信件的附件中。该网络蠕虫将自身拷贝到Windows的System目录下,以部分随机的文件名称保存:随机的文件名称前4个字母是Wink,后面的是随机的字符,文件的扩展名称是exe,当您发现自己的SYSTEM目录下有这些类似的文件后,您必须使用最新版本的KV3000来检查您机器上的病毒了。该病毒会自动在以下的文件中搜索邮件地,基本覆盖了所有能保存Email地址的文件!
该网络蠕虫还能感染可执行文件:将要感染的原始的文件隐含起来,将网络蠕虫变化成该原始文件保存。被隐含的文件被加密存放,但是没有病毒代码。被隐含的文件的文件名称和被感染前是一样的,只是多了一个随机的扩展名称。该网络蠕虫还会在系统的程序目录Program Files释放一个病毒,当然文件名称是随机的,并且该文件是可以自动运行的。
需要注意的是:一旦该网络蠕虫被运行的话,大多数的反病毒软件会被自动终止。
预防方法:要阻止该网络蠕虫利用电子邮件传播,用户必须安装相应的补丁程序,下载地址如下:www.microsoft.com/technet/security/bulletin/MS01-020.asp。
在WINDOWS 95/98/ME系统下的清除:先运行在WINDOWS 95/98/ME系统下的安全模式下,使用注册表编辑工具regedit将网络蠕虫增加的键值删除:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun
和HKEY_LOCAL_MACHINESystemCurrentControlSetServices
要删除的注册表项目是wink???.exe的键值。
同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink???.exe删除,注意还必须将回收站清空。删除了相应的病毒文件后,可以重新启动计算机,然后,在KVW3000的安装目录下执行KVD3000.EXE来清除该病毒。注意一些全部是网络蠕虫的程序或者文件是需要按照提示完全删除的。
(2)在Windows 2000/XP系统下的清除:
清除方法基本和Windows 95/98/ME系统下的清除方法相同:先以安全模式启动计算机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要删除病毒增加的表项是:
wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在系统目录下将该文件删除。注意该文件是隐含的,您必须打开显示所有文件的选择项目才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun从以上的分析来看:该网络蠕虫的传播感染使用了多种手段、方法,几乎覆盖了所有的目前流行的传播方式,建议用户及时升级自己的KV3000查杀病毒软件来查杀该病毒。
点一支歌送朋友,带给他(她)春天的信息和你的心意!
15秒快速订短信 精彩资讯尽在“掌”握
|