冒充微软的升级包 “四维”网络蠕虫病毒被截获

麦丰UID: 125455

from 搜狐IT

2003年9月19日，江民快速反病毒小组最新截获一种名为I-Worm/Swen“四维”的网络蠕虫病毒。此病毒是用C++编写的。

　　病毒别名：W32.Swen.A@mm,Swen , W32/Swen@mm , W32/Gibe-F, Worm Swen.A

　　病毒长度：106,496 bytes

　　危险级别：高

　　影响平台：该病毒可以影响目前流行的所有Windows平台（包括：Win95/98/Me/NT/2000/XP以及Windows Server 2003）

　　江民公司反病毒专家介绍：I-Worm/Swen是一种网络蠕虫病毒，它的传播方式有很多种，包括：电子邮件，KaZaA, IRC，网络共享以及新闻组等。它还试图破坏系统中正在运行的反病毒软件及个人防火墙程序。

　　该蠕虫病毒通过邮件发送传播时它的主题、内容、以及发送Mail的地址都是随机变化的。病毒一旦感染系统并运行时：

　　1.出现一个对话框，假装是"Microsoft Internet Update Pack."（微软的升级包）

　　2.试图结束下列进程，以躲避反病毒软件：

　　Azonealarm

　　zapro

　　wfindv32

　　webtrap

　　vsstat

　　vshwin32

　　vsecomr

　　vscan

　　vettray

　　vet98

　　vet95

　　vet32

　　vcontrol

　　vcleaner

　　tds2

　　tca

　　sweep

　　sphinx

　　serv95

　　safeweb

FOClUID: 130861

可恨！

麦丰UID: 125455

如果你的电子邮箱莫名其妙的接到什么Microsoft...发的，主题为什么。。。update pack或Security Pack之类的E-mail就最好不要接了，比如像这封

  "Microsoft Corporation Program Security Division"<fehabcc-irjn@bulletin.ms.net>  
Current Security Pack 2003-9-21 7:49 158 KB

麦丰UID: 125455

专杀工具
from DuBa.Net

　该蠕虫在发送病毒邮件时会使用随机的主题、内容和附件名称，且主题的内容信息多以“微软补丁发放、退信”的形式，让人很难加以判断，造成误打开病毒邮件，从而中招。蠕虫还会搜索系统中是否安装像“KaZaA”等点对点工具，或是“IRC”聊天工具，如果安装，它会利用这些工具的文件共享功能进行传播。蠕虫为了获得更强的生命力，它会强制中止大量反病毒软件、病毒防火墙和网络防火墙，以及替换大量文件关联，提高自己激活的机会。蠕虫激活后会造成部份应用程序运行失败，或者被蠕虫禁止运行，比如注册表查看器(Regedit.exe)程序。

该蠕虫正在网络中高速传播，中毒后的系统极难手工清除.