一种新的宏病毒被发现 _计算机-网络-通信_科技时代

新浪首页 > 科技时代 > 计算机-网络-通信 > 华声报 > 新闻报道

一种新的宏病毒被发现
http://www.sina.com.cn 1999/09/23 09:23 华声报

　　根据一家安全系统销售商的消息，一种称为Suppl.doc的新病毒正在使用与Worm.ExploreZi p相同的手段自行悄悄复制，七日之后才开始废除文件。这家名为"Network Associate"的公司和其下属的AVERT（反病毒紧急反应组）经过分析病毒编码，发现病毒从9月17日以来已经依附在25个以上的alt.sex 新闻组中，由此给这一新的Suppl Word 宏病毒评价为"中等危险"。美丽莎病毒就是在alt.sex新闻组中首次被发现的。

　　Network Associate有限公司（NAI）还提到，它有着ExploreZip的破坏力，粘贴在 25个以上的alt.sex新闻组里，而美丽莎病毒最初也是粘贴其中。它具有可能成为高度危险的因素，所以我们要未雨绸缪。

　　Suppl病毒不是从受感染的机器中传送给其他用户，而是通过监控用户电子邮件的使用，把名为suppl.d oc的受感染文件粘贴上去而广为传播。

　　如果邮件接收人打开附件，则只能看到屏幕一片空白，而此时系统已经受到传染。感染后大概163小时之后，病毒开始吞噬文件，也就是说，文件的长度变为零字节，而且数据不可修复。所有固定盘片上以.doc, .xls, .tx t, .rtf,.dbf, .zip, .arj, 和 .rar为扩展名的文件都会被感染。

　　Network Associate有限公司是上周五发现该病毒的。从本周一以来，只有两个客户报告有感染。由于用户可能受到感染而七天后病毒发作时才能发现，所以该病毒在今后几天影响会更广泛，更危险。

　　"病毒制造者希望借此令病毒传播时间更长。如果人们不及时更新保护工具，他们一个星期都不会注意到此病毒。而且他们发出去的任何电子邮件都粘贴有该病毒。"

　　Suppl.doc的宏编码利用了DLL文件---LZ32.DLL 和KERNEL32.DLL中的两个程序。如果Word的宏警告功能启动了，打开文件时，警告信息就可出现。病毒会在Windows目录中书写三个文件：W ININIT.INI, DLL.LZH和 ANTHRAX.INI，然后自动把压缩文件DLL.LZH扩张到DLL .TMP中。

　　DLL.TMP文件是WSOCK32.DLL的替代文件。新WININIT.INI文件的内容指导操作系统通过把当前的WSOCK32.DLL文件重新命名为WSOCK33.DLL，又把DLL.TMP文件重新命名为WSOC K32.DLL，从而更换了当前的WSOCK32.DLL。

　　Windows在启动时利用了WININIT.INI文件，因此病毒能实施上述活动。新的WSOCK32.D LL文件包括了两个指令：既监控发出的email,又在163个小时之后开始吞噬文件。

　　用户不要打开任何名为Suppl.doc的email附件。同时Network Associate一如既往地建议用户随时更新其DAT文件，以对抗新病毒。

新浪首页 > 科技时代 > 计算机-网络-通信 > 华声报 > 新闻报道

网站简介 | 网站导航 | 广告服务 | 中文阅读 | 联系方式 | 招聘信息 | 帮助信息


			一种新的宏病毒被发现 http://www.sina.com.cn 1999/09/23 09:23 华声报　　根据一家安全系统销售商的消息，一种称为Suppl.doc的新病毒正在使用与Worm.ExploreZi p相同的手段自行悄悄复制，七日之后才开始废除文件。这家名为"Network Associate"的公司和其下属的AVERT（反病毒紧急反应组）经过分析病毒编码，发现病毒从9月17日以来已经依附在25个以上的alt.sex 新闻组中，由此给这一新的Suppl Word 宏病毒评价为"中等危险"。美丽莎病毒就是在alt.sex新闻组中首次被发现的。　　Network Associate有限公司（NAI）还提到，它有着ExploreZip的破坏力，粘贴在 25个以上的alt.sex新闻组里，而美丽莎病毒最初也是粘贴其中。它具有可能成为高度危险的因素，所以我们要未雨绸缪。　　Suppl病毒不是从受感染的机器中传送给其他用户，而是通过监控用户电子邮件的使用，把名为suppl.d oc的受感染文件粘贴上去而广为传播。　　如果邮件接收人打开附件，则只能看到屏幕一片空白，而此时系统已经受到传染。感染后大概163小时之后，病毒开始吞噬文件，也就是说，文件的长度变为零字节，而且数据不可修复。所有固定盘片上以.doc, .xls, .tx t, .rtf,.dbf, .zip, .arj, 和 .rar为扩展名的文件都会被感染。　　Network Associate有限公司是上周五发现该病毒的。从本周一以来，只有两个客户报告有感染。由于用户可能受到感染而七天后病毒发作时才能发现，所以该病毒在今后几天影响会更广泛，更危险。　　"病毒制造者希望借此令病毒传播时间更长。如果人们不及时更新保护工具，他们一个星期都不会注意到此病毒。而且他们发出去的任何电子邮件都粘贴有该病毒。" 　　Suppl.doc的宏编码利用了DLL文件---LZ32.DLL 和KERNEL32.DLL中的两个程序。如果Word的宏警告功能启动了，打开文件时，警告信息就可出现。病毒会在Windows目录中书写三个文件：W ININIT.INI, DLL.LZH和 ANTHRAX.INI，然后自动把压缩文件DLL.LZH扩张到DLL .TMP中。　　DLL.TMP文件是WSOCK32.DLL的替代文件。新WININIT.INI文件的内容指导操作系统通过把当前的WSOCK32.DLL文件重新命名为WSOCK33.DLL，又把DLL.TMP文件重新命名为WSOC K32.DLL，从而更换了当前的WSOCK32.DLL。　　Windows在启动时利用了WININIT.INI文件，因此病毒能实施上述活动。新的WSOCK32.D LL文件包括了两个指令：既监控发出的email,又在163个小时之后开始吞噬文件。　　用户不要打开任何名为Suppl.doc的email附件。同时Network Associate一如既往地建议用户随时更新其DAT文件，以对抗新病毒。

新浪首页 > 科技时代 > 计算机-网络-通信 > 华声报 > 新闻报道