2007年4月12日晚,51CTO记者接到一位住在北京天通苑小区朋友的求助电话,他怀疑一名为“天通苑2007业主及会员联络表”RAR压缩包内可能有病毒。据朋友反映,他是在收到一封邮件附件名为“天通苑2007业主及会员联络表”的邮件时发现问题,本来以为是大家为了有业主为了方便邻里联络方便而整理的,可是解压后他感觉电脑有异常。
据他说,打开压缩包后发现一个名为“天通苑2007业主及会员联络表”WORD文档,想都没想就点开查看,可是他发现里面全部都是乱码,而且会自动打开天通苑社区网站,根据他的经验,怀疑自己已经中招了,但中了什么招,他自己也搞不清楚,随后第一时间拨通了记者的电话。
该邮件内容如下 亲爱的天通苑业主您好: 非常感谢您一直以来对天通苑论坛的支持和厚爱,使我们的论坛更加快速的发展和壮大。 见附件(天通苑2007业主联络表)。
祝全体业主和会员:全家幸福!万事如意!
天通苑论坛管理员
20070412
|
经记者的详细询问,了解到朋友收到的邮件中并无任何可疑之处,相信任何一个天通苑的业主看到该邮件后都会点击,但记者发现压缩包中的文件并非.doc文档,而是放上WORD图标的.exe文件,初步猜测这可能是灰鸽子,但为了证实猜测,记者立即与江民公司反病毒工程师取得联系,经过他们分析,确认这是一个灰鸽子最新变种。
江民工程师说:压缩包一旦解压即可释放一个灰鸽子新变种。病毒运行后,在注册表下生成以下病毒键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows-usp
同时在系统目录C:\Windows下名为G_windows的病毒文件,属性为隐藏。
由于灰鸽子病毒具有极强的隐蔽性,具备远程监控、盗号等功能,用户中毒后很有可能在不知不觉中被监视,而银行账号和网游账号都有可能被盗,给用户带来极大的损失。51CTO安全频道也提醒广大天通苑业主,不要随意点击标题为“天通苑2007业主及会员联络表”的邮件,另外,江民反病毒专家还提供了五步手工查杀灰鸽子新变种的方法:
1、启动注册表编辑器:开始菜单->运行->regedit
2、在左边树形列表中找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows-usp
如果找到,删除这个windows-usp项;如果不存在上面的注册表键,说明没有感染该灰鸽子变种。
3、删除注册表项后,重新启动计算机
4、重启后打开我的电脑,选择菜单:工具->文件夹选项->查看,在高级设置里面,选择“显示所有文件和文件夹”,并去掉“隐藏受保护的操作系统文件”前面的勾
5、来到C:\Windows目录, 找到并删除名称为G_windows的文件。至此,该病毒被完全清除
此外,记者同时还把病毒的源文件发给了瑞星和金山的相关人员,截止记者发稿时止,以上两家反病毒厂商并未作出任何解答。
相关专题
- US-CERT 再次发出RealPlayer危险警告 (12次浏览)
- 病毒太疯狂,即时通信难逃一劫 (12次浏览)
- 12月通过电子邮件传播的二十大恶意软件 (8次浏览)
- 2007.12.24至2007.12.30 每周病毒报告 (4次浏览)
- 盗号木马伪装成文本文件 专偷QQ密码 (2次浏览)
- 新垃圾邮件:我真的没带病毒来啊 (1次浏览)
- Windows任务计划程序惨遭蠕虫利用 (1次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web2.0 (0次浏览)
- 2007.12.31至2008.1.6 每周病毒报告 (0次浏览)
- 麦咖啡错将合法网站当贼抓 (0次浏览)
