NAI查杀“新爱虫”

赛迪新闻

　　5月18日，NAI反病毒紧急响应小组AVERT提醒所有计算机用户和网络管理员注意防范“爱虫”刚刚出现的变种“新爱”（VBS/Newlove.A）。这是一个VBScript蠕虫病毒。 AVERT指出“ 新爱”采用了与“爱虫”相似的复制模式，但它比它的上一代更加狡猾，“新爱”会随机选用用户新近完成的文件标题添加到带有病毒的电子邮件附件主题上，让用户防不胜防。

　　感染“新爱”的计算机硬盘上的文件大部分会被删除，虽然“新爱”目前的流行规模还不大，但鉴于它的欺骗性，和传播速度NAI已把它定级为“高风险”病毒。

　　感染症状：

　　邮件附件主题：均以“FW：”开头，让用户误以为是抄送邮件，然后是上次的文档目录的名字或是随机名字。

　　信件内容：空

　　附件：从Windows目录中随机选取的VBS文件。

　　如果用户执行了这个附加文件，“新爱”将使用Windows脚本主机程序来运行。这种程序只有安装了IE5才会有。

　　病理学：

　　当第一次运行时，“新爱”首先在Windows目录下复制自己，其文件名或者是上次的文档目录名，或者是随机取的名，并且其扩展名是在下列后缀中随机选取的：Doc，Xls，Mdb，Bmp，Mp3，Txt，Jpg，Gif，Mov，Url，Htm，Txt。但是这个文件的真正扩展名却是“.vbs”。病毒是通过给复制体附加随机内容来完成这个过程的。

　　感染方式：

　　如果安装了Windows脚本主程序，这个病毒将执行。运行文件为偶然收到或特意安装（拷贝）在本地系统上的E-mail附加文件。

　　清除建议：

　　在无各种脚本、批处理、宏文件和驻留程序的前提下：

　　使用特殊的引擎和DAT文件来检测和清除。

　　注意：在Office应用程序（如Word）中，宏病毒关闭各种选项的情况比较普遍，宏病毒保护警告一般也处于关闭状态。在清除了宏病毒后，确认原来的设置选项可以被重新打开。

　　NAI查杀此病毒的病毒库最低要求4080最低引擎版本4.0.35 。

　　使用VirusScan 4x:用Unzip解开此文件，用菜单方式将extra.drv拖至适当位置。

　　使用Dr Solomon's 8x:用Unzip解开此文件，用菜单方式将extra.dat拖至适当位置。