|
趋势科技今日(2/28)发布黄色病毒警讯,一只名为"TROJ_Mybabypic.a宝贝照片的特洛伊木马病毒(别名:MYBABYPIC.A,
I-Worm.Myba, Backdoor.MyBabyPic),正通过电子邮件扩散。这只特洛伊木马病毒会通过Microsoft
Outlook散播自己。此病毒信件的主题为"My Babypic.",附件为"MYBABYPIC.EXE"。当附件的病毒程序被执行之后,会显示出一个小孩照片跟一个对话窗口,关掉这个窗口之后,这只特洛伊木马病毒会将自己复制到
windows\system 目录下并且修改登录数据库,以便在每次Windows启动时能够执行病毒程序。这只病毒也需要Windows
Scripting Host才能正常运作并连到一些特定的网站。除此之外,这只病毒有一些具破坏性的行为,它会覆盖一些特定扩展名的文件或是删除一些特定的文件。
解决方案:
TrendLabs趋势科技全球防毒研究暨支持中心建议:· 当收到信件标题为"My Babypic."的电子邮件,请立即删除,勿开启附加文件以免中毒。趋势科技防毒软件用户请立即更新扫描引擎至5.200以上,病毒码855(含)以上,以侦测及清除此病毒或采用趋势科技内容过滤产品InterScan
eManager或ScanMail for Exchange,ScanMail for Lotus Notes以计算机病毒附加文件名称,信件主题及信件内容来侦测及清除。
手动清除步骤
1. 按 Control-Alt-Delete删除WINKERNEL32 程序。
2. 删除以下注册表值:
HKEY_CURRENT_USER\Software\Bugger
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\mybabypic
HKEY_USERS\.DEFAULT\Software\Bugger3
3. 删除以下注册表值的内容:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
= "C:\ <Windows System Directory>\Command.exe"
4. 在 WINNT 环境,用一份干净没有中毒的CMD.EXE覆盖原先文件。
5. 趋势产品使用者请定期更新您的病毒码与扫描引擎并将所有侦测为TROJ_BYMER的文件删除。
|
