W32.Deev@mm以Download MP3s fast名義誘使用戶執行請小心



贊助商連結


siliva
2002-09-23, 08:55 AM
親愛的AntiVirus企業用戶:
賽門鐵克安全應變中心於 2002.09.20發佈最新的病毒樣本,一隻名為
" W32.Deev@mm

"的新病毒,,請各位小心防範!


病毒傳播方式:
W32.Deev@mm 是會寄大量郵件給Microsoft Outlook通訊錄中聯絡人的病蟲.
其郵件主旨,附件內容如下:

郵件主旨:Download MP3s fast...
郵件內容:Download this screen saver... look for the password and we will give you 10 free MP3s. Absolutely Free!!!
附件檔案:Fre.exe

注意:這個病蟲有兩種威脅元件
1.Portable Executable(PE)註1元件是由Borland Delphi程式語言編寫並經過壓縮,會被偵測為W32.Deev@mm
2.Visual Basic Script (VBS)元件是由PE所建立,會被偵測為VBS.Deev@mm

清除方法:
全系統掃瞄
1. 執行Liveupdate以取得最新的病毒定義檔2002.09.18<40918h>
智慧型更新2002.09.19<40919c>手動下載20020919-003-x86.exe
2. 重新啟動電腦於安全模式(WindowsNT除外)
3. 啟動 Norton AntiVirus (NAV),請確定 NAV "掃描所有檔案". 如果需要請參閱下列文件以調整您的設定< How to configure Norton AntiVirus to scan all files >.
4.若找到病毒W32.Deev@mm,則點選"刪除",若有備份將受感染之檔案回復,若有需要請重新安裝

登錄檔修改
1. 按下 "開始" 選擇 "執行" 並鍵入 "regedit"
2. 找到下列的位置
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 在右邊視窗找到
(Default) <the PE executed worm program>
 請將它刪除
找到下列的位置
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
 在右邊視窗找到
(Default) C:\Windows\Desktop\readme.txt.vbs
 請將它刪除
3.結束登錄編輯器

註1:PE 是可移植於所有Microsoft 32位元作業系統的檔案. PE格式的檔案可以在任何版本的Windows 95, 98, Me, NT,2000,和 XP上執行. 所有 PE 檔案是可執行的,但並非所有可執行檔是可移植的.一個PE檔的例子就是螢幕保護程式(.scr)

若有無法順利完成定義檔下載更新之動作;
如有發生類似情況,請至下列FTP位址,下載最新病毒定義檔
http://www.sarc.com/avcenter/download/us-files/20020919-003-x86.exe
ftp://www.netranger.com.tw/symantec/virusdefinition/20020919-003-x86.exe



******** Nav for Exchange、 Nav for Gateway 與Nav for Notes 3.0的使用者請注意: ********

Nav for Gateway、 Nav for Exchange 3.0 與Nav for Notes 3.0的使用者
同時可設定對此病毒信件的主旨及附件檔名拒收!!