2003.09.01金山毒霸反病毒應(yīng)急處理中心率先捕獲到“秋天童話”(Worm.Pereban,又稱作“秋天的童話”I-Worm/AutoFairy)病毒。該病毒主要通過電子郵件進行傳播,并具有強烈的政治傾向。并針對英文系統(tǒng)作了一些惡作劇性質(zhì)的攻擊動作。
僅僅兩天的時間,金山毒霸反病毒應(yīng)急處理中心又捕獲到該病毒的一個新的變種。
為此,金山毒霸提醒廣大用戶,如果接收到郵件主題為“秋天的童話”的郵件,不要打開郵件的附件,避免中毒。
據(jù)金山毒霸反病毒工程師介紹,感染“秋天童話”新變種的系統(tǒng)可能出現(xiàn)以下幾種情況:
一、雙點計算機中的配置文件時會打開要求選擇程序的對話框。
二、計算機中可能會出現(xiàn) .exe,(未設(shè)置鍵值).exe,test .txt,test .bat,msimnusa.sys,myphoto .jpg.exe,Islove .jpg.exe, helpme .jpg.exe 中的一個或多個,用戶可以查找這些文件是否存在。
三、在系統(tǒng)時間到達或超過12月24日以后,會出現(xiàn)以下對話框:
"Japan must for 1931-9-18 pay out price!"(日本人必須為9.18付出代價)
"Japan is dye-in-the-wood of ruffian and cur!"(日本人是徹頭徹尾的流氓惡棍)
"Japanese are PIGs!!!! "(日本人是豬)
"The People's Republic of China Banzai!"(中華人民共和國萬歲)
"To unify the TanWai by China!"(中國統(tǒng)一臺灣)
"No War!Peace Banzai!"(不要戰(zhàn)爭!和平萬歲)
"format Your Hard-Disk......"(格式化你的硬盤)
"United States must for Wei.Wang pay out price!"
"United States is dye-in-the-wood of ruffian and cur!"
"打倒美帝國主義?美國必須向中國人民道歉!"
"臺灣是中國領(lǐng)土的一部分?"
如果出現(xiàn)以上任意一種情況,那么您的系統(tǒng)很有可能已經(jīng)被“秋天童話”感染。您需要采取以下應(yīng)急措施:
1、 如果您安裝有金山毒霸V,您可以通過在線升級升級到金山毒霸最新版本,
然后進行全盤查殺;
2、 如果您暫時還沒有購買金山毒霸V,但您可以連接Internet,您可以http://www.duba.net/antiscan/index.shtml 進行金山毒霸在線查毒;或者您也可以到 duba.net “秋天童話”專殺工具,使用專殺工具進行全盤查殺;
3、 如果您以上條件都不滿足,那么只有稍稍麻煩一些,進行手工的殺毒了。
a、如果是NT系列操作系統(tǒng)(包括2000/xp/2003)按Ctrl+Alt+Del三鍵,啟動程序管理器,切換到進程管理,然后結(jié)束掉其中的” .exe”;”(未設(shè)置鍵值).exe”;” Islove.jpg.exe”;” Myphoto.jpg.exe”;” Helpme.jpg.exe”進程; 然后在磁盤上找到上述的幾個文件,一一刪除。并修改C:\autoexec.bat文件,察看其中的代碼,如果發(fā)現(xiàn)以下代碼,則刪除掉這些代碼
@ECHO Warning! illegal access error!
ECHO a fatal BIOS error,be incapable of data to load......
:USA
GOTO :USA
以上最后兩句代碼將會導(dǎo)致系統(tǒng)無法啟動,僵停在啟動的Dos界面上。
并打開注冊表編輯器,定位到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,將默認鍵值清空;
再定位到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService,將默認鍵值清空;
并按住shift鍵右鍵單擊桌面上前面步驟建立的.INI文件,再彈出的菜單中選擇“打開方式”項目,重新為.INI文件選擇一個用于打開的程序,通常選擇“記事本”程序即可。
b、如果是95/98系統(tǒng),系統(tǒng)默認并沒有提供程序管理器。那么只有選擇“關(guān)閉計算機并退回到MSDOS狀態(tài)”,在純DOS系統(tǒng)下進行手工刪除幾個病毒文件以及還原autoexec.bat文件內(nèi)容的獺2⑶倚枰⒁獾氖牽雜?5/98用戶,還需要切換到Windows目錄下找到并刪除掉WinStart.BAT文件,這鑫募彩譴瞬《敬唇ǖ?,用诱V┳∠低呈瓜低澄薹ㄕF舳?/P>
95/98系統(tǒng)用戶在做完如上步驟后,還需要重新回到Windows環(huán)境中,將注冊表還原(位置同NT系列系統(tǒng)),并重新為.INI文件指定一個打開方式的文件(方法同上)。
至此,這個病毒就已經(jīng)從您的系統(tǒng)中清除完畢了。
最后,金山毒霸再次提醒廣大用戶,一定要注意及時更新您所使用的殺毒軟件。并保持病毒防火墻打開的狀態(tài)。并一定注意不要打開陌生人發(fā)送來的或者來意不明的附件。確保您的數(shù)據(jù)安全不受影響。金山毒霸將保持對此病毒的密切關(guān)注,隨時為您提供最新信息。詳情請關(guān)注duba.net 金山反病毒資訊網(wǎng)。
