NAI传授清除ExplorZIP.worm病毒的有效方法

　　日前，美国网络联盟公司（NAI）在Windows NT和 Windows 98系统环境中发现一种名为ExplorZIP.worm的病毒。 此病毒为32位蠕虫病毒，通过电子邮件传播，并修改Win 9X的 WIN.INI以及Win NT的注册登记文件。 　　病毒的特征表现为蠕虫病毒调用MAPI所查到的E-mail应用 程序，如：MS Outlook、MS Outlook Express、MS Exchange 和Netscape-mail。该蠕虫病毒将以如下信息答复收到的邮 件："I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs." 而邮件的标题栏不表明该邮件是一封回信。名 为"Zipped_files.exe"的蠕虫病毒便附在该答复邮件中，其大 小为210,432 bytes。文件为Winzip压缩图标外观，如收件人 双击它进行解压，则在此过程中将会出现一个假的错误提示信 息："Cannot open file：it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help." 然后，该蠕虫 病毒会搜索机器上所有的驱动器，当找到时，它会删除所有下 列文件：.c、.cpp、.h、.asm、.doc、.xls、.ppt，使其字节 长度变为"0"。 　　NAI公司现已发现清除ExploreZIP.worm病毒的有效方 法： 　　Win 9X：重启并进入MS_DOS模式，编辑WIN.INI并删 掉"run=c:\windows\system\explore.exe "，然后删除"c: \windows\system\ explore.exe"，再重启Win9X即可。 　　Win NT：该蠕虫作为一个进程，在Win NT Task manager 中名为"explore"，用户可以终止该进程，运行REGEDIT（注 意：不是REGEDIT32）并嵌入 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current\Version\Windows]，删除"run=C: \\WINNT\System32\Explore.exe"，重启NT，删除文件"c: \winnt\system32\Explore.exe"即可。 　　NAI同时还推出了动态实时防范措施，以保证用户不受到 32位蠕虫病毒的袭击： 　　1． 确保你的系统中已经安装了NAI VirsuScan 4.0.2版 本的反病毒软件； 　　2． 利用VirusScan 特别功能AutoUptate，可以实现DAT 文件的升级工作； 　　3． 在已经安装了最新版本的VirusScan.DAT文件后，仍 需要下载和安装最新EXTRA.DAT文件，以确保VirusScan可以发 现和删除32位蠕虫病毒； 　　4． 为了使VirusScan能够接受新的Extra文件，用户需要 关闭并重新启动VirusScan On-Access Monitor； 　　5． 通过监测Event Viewer的Application Log，可以确 定是否确实得到NAI软件的保护，以防止32位蠕虫病毒的侵害。