NAI发现suppl病毒

　　近日， NAI(美国网络联盟公司)实验室的一个部门——AVERT反病毒紧急行动小组，通过一个全天24小 时自动检测和跟踪新病毒的扫描程序，第一次发现了这种病毒。Suppl word宏病毒从9月17日（星期五）开始已 传播到了25个以上的新闻组。在分析了这个新的suppl word 病毒的代码后，NAI已将suppl 列入AV ERT警示栏。到9月19日下午7时止（太平洋时间，星期四）suppl在用户方面尚未被发现。但如有必要，NAI将 更新对其危险性的估价。

　　症兆：

　　感染了suppl的用户会通过email传播病毒，并遭受数据丢失。Suppl可以监视用户email的使用 ，并将一个名为“suppl.doc"的染毒文件缚在所有发出的网络email上。除了通过email传播外，在被感 后大约163小时后病毒开始清空所有在当地硬盘上（包括C盘）扩展名为：doc、 xls、txt、rtf、dbf、 zip、arj、rar的文件。（将文件长度设为0字节，使数据无法再使用）。

　　病症：

　　Suppl.doc具有宏代码，它能运用高技术来利用DLL文件（LZ32.DLL和KERNEL32.DL L）中的程序。当文件被打开，如果Word打开了宏警告功能，一个警告就会出现。如果用户不打开宏就不会发生病毒感染 。但如果宏被打开，病毒会在windows目录下写上三个文件（WININIT.INI，DLL.LZH和ANTHR AX.INI）并自动将压缩文件DLL.LZH解压为DLL.TMP。

　　DLL.TMP是WSOCK32.DLL文件的替代文件,新的WININIT.INI文件将改变文件内容。首 先将WSOCK32.DLL重命名为WSOCK33.DLL。之后将DLL.TMP重命名为WSOCK32.DLL。 WINDOWS在启动时调用WININIT.INI时即可完成上述过程。新的WSOCK32.DLL包括一些命令使其 能监视email的发出和在病毒感染后约163小时后开始清空文件。

　　医治：

　　NAI的自动检测和杀毒软件是有效的。为了避免被新病毒感染的危险，建议网络管理员和用户更新防毒软件为最新 版本。在网络联盟网址：http://www.nai.com可得到最新的有效保护。普通用户可在http://ww w.Mcafee.com下载最新的反病毒保护软件。

　　如果手工给感染病毒的机器杀毒，用户可以重启至MS——DOS方式，到windows目录下，将WSOCK3 3.DLL复制成WSOCK32.DLL之后重启，WSOCK33.DLL能阻止suppl再袭击系统，并有效 恢复 系统，用户也应尽量不要打开文件的宏，除非特殊情况下必须打开。