病毒名称:
ColdWorld
类别: 蠕虫病毒
病毒资料:
ColdWorld(冰冷世界)
病毒被运行后,创建一个WScript 的Shell对象,试图删掉本地系统中的 msconfig.exe (系统配置工具)和 regedit.exe(注册表编辑工具) 。但因它有个Bug,所以没有成功地将这两个文件删去,创建HKEY_CURRENT_USER\Software\coldworld,并将其键值设为“Worm made with Vbswg 1.50b”。
创建
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\win,
并将其键值设为“wscript.exe $\Worm.vbs %”($表示windows系统目录),然后它将按照Outlook
电子邮件地址薄给向每个地址发送E-mail。内容如下:
邮件主题:拉登被炸死
邮件正文:新华社图片
邮件附件:Worm.vbs(大小为 3,132 字节)
为了避免重复发送邮件,该病毒在注册表中设置了是否已发送的标志:
HKEY_CURRENT_USER\Software\coldworld
\mailed,当该值不等于 1 时病毒就会调用Outlook来
发送邮件,发送后设置该值为 1。
病毒会查找本地和网络驱动器的所有文件,如果其扩展名为 zip 或 jpg,则用病毒体覆盖该文件。
该病毒一旦被运行,不会自动退出,它一直判断被自身是否仍然存在于磁盘上,如果不存在,则重新创建一个。
该蠕虫病毒能传播的前提条件是计算机上的 Windows 脚本宿主程序WScript.exe 被安装(Windows缺省设置为安装)。邮件发送的前提条件是系统中安装 Microsoft Outlook 软件,并已连接到网络上。
该病毒可以通过手工方法予以清除,具体操作如下:
1.如果系统中有wscript进程,则结束它。
2.删除邮箱中所有符合上述条件的邮件;
3.删除系统目录下的 Worm.vbs 文件;
4.删除注册表中的如下两项:
(1)HKEY_CURRENT_USER\Software\coldworld
(2)HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\win
5、删除所有含"Vbs.coldworld Created By hp"、大小为3132字节的zip、jpg类型的文件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2001-11-2
|
