ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 6612|回复: 1
打印 上一主题 下一主题

流行邮件病毒I_WORM.MTX的清除方法。

[复制链接]
跳转到指定楼层
顶楼
发表于 2006-11-1 08:23:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
该病毒名称是I_WORM.MTX,是一个感染WINDOWS 9X/NT系统的32位PE格式的文件型病毒,同时属于INTERNET 网络蠕虫类,其长度为18483字节。   该病毒修改WSOCK32.DLL系统文件,以使受感染的系统的发送邮件增加自动发送附件的功能。它搜索可以 使用的共享网络邻居,以使它能传送到主系统中。 因为该病毒有邮件特性,用户可能接受到一个带有附件的邮件,邮件附件的文件名是变化的,但是大体是 32个文件中随机选择的的文件名:比如:ALANIS_Screen_Saver.SCR;ANTI_CIH.EXE;AVP_Updates.EXE等,文 件的扩展名称有:pif、scr、exe等。   不管附件的文件名、扩展名如何变化,其实都是一个PE格式的32位病毒程序。   该病毒感染32位的PE格式文件,感染WINDOWS系统目录下的EXE文件及DLL文件等。同时它还会在当地 影象磁盘上搜索目标文件进行传染。   病毒存在的的迹象:如果在系统的WINDOWS目录下含有以下文件,则您的系统很可能就被该病毒感染: IE_PACK.EXE,MTX_.EXE,WIN32.DLL,WSOCK32.MTX。   病毒修改系统配置文件WININIT.INI,使得原本系统调用的正常的文件WSOCK32.DLL变成调用wsock32.mtx 文件。 同时,为了使计算机每次启动都能运行该病毒,病毒同时修改注册表表项:   HKEY_LOCAL_MACHINE\Software[MATRiX]   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemBackup = "C:WINDOWSMTX_.EXE"   这样每次系统启动该病毒程序都能自动运行。   当用户收到带有病毒的邮件,而双击附件文件后,系统会释放三个文件,文件是隐含属性:   IE_PACK.EXE, MTX_.EXE (PE格式的病毒体), WIN32.DLL (该文件是其自身的拷贝)   解决方法:   1)使用REGEDIT将注册表中表项删除:   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 将其中的数值SystemBackup = "c:windowsmtx_.exe 删除。同时将HKEY_LOCAL_MACHINES\oftware中的MATRIX删除。   2)在C盘中搜索文件wininit.ini文件及文件wsock32.mtx,如果找到的话,将它们都删除。   3)关机,重新启动计算机。然后采用KV300+启动,清除系统中的病毒。
沙发
 楼主| 发表于 2006-11-1 08:47:37 | 只看该作者
看贴要回哟!!
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-22 13:45

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表