收藏本站腾讯微博新浪微博

经典论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

蓝色理想 最新研发动态 网站开通淘帖功能 - 蓝色理想插件 论坛内容导读一页看论坛 - 给官方提建议

论坛活动及任务 地图和邮件任务 请多用悬赏提问 热夏来袭,选一款蓝色理想的个性T恤吧!

手机上论坛,使用APP获得更好体验 急需前端攻城狮,获得内部推荐机会 论坛开通淘帖功能,收藏终于可以分类了!

搜索
查看: 2091|回复: 1

worm.concept.e.57344是什么病毒?如何杀?

[复制链接]
发表于 2003-5-30 18:40:00 | 显示全部楼层 |阅读模式
兄弟们:
      今天我的电脑在W2000下突然出现了worm.concept.e.57344(什么病毒),用刚升级的金山毒霸也杀不了,请问怎么杀?
      不胜感激!
发表于 2003-5-30 20:37:00 | 显示全部楼层
有时候搜索可以帮你解决问题:
http://www2.beareyes.com.cn/bbs/2/24.htm
--------------------------------------------------------------------------
Worm.Concept.57344概念蠕虫病毒
http://tech.cn.tom.com2001年09月19日来源:Tom 专稿
病毒名称:Worm.Concept.57344概念蠕虫病毒
  病毒种类:蠕虫病毒
  危害程度:
  病毒简介:
这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe -dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20.dll。而riched20.dll目录在windows系统中就存在,而它就把它覆盖掉了。
而病毒复制到临时目录下的副本(有两个文件,文件名为???????.tmp.exe),病毒会在系统下次启动时将他们删除(修改wininit.ini文件)。
为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址将带毒邮件发送出去。
病毒的第二种传播途径就是用跟CodeBlue极其相似的方法,使用了IIS的UNICODE漏洞。
病毒的第三种传播途径是通过局域网的共享,传播到其它windows系统下。
另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。
最新闪亮登场的的"概念”蠕虫,预测其破坏性极为巨大,如果用户您不幸深中此毒,大为恐慌之余,还需保持冷静,教您手工清除它,且请用户按照如下方法一步一步进行手动清除:
1、打开进程管理器,查看进程列表;
  2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
  3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
  4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
  5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
  6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
  7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
  8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
  9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
  10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
  11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
  “
  ”
以及
  “Content-Type: audio/x-wav;
  name="readme.exe"
  Content-Transfer-Encoding: base64
  ”,则删掉该文件。
只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”蠕虫,赶快行动吧!

评分

参与人数 1威望 +1 收起 理由
经典论坛大妈 + 1 历史打分

查看全部评分

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|手机版|blueidea.com ( 湘ICP备12001430号 )  

GMT+8, 2020-8-15 19:40 , Processed in 0.109102 second(s), 9 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表