国家计算机病毒应急处理中心通过对互联网的监测，发现病毒
"WORM_ScardSer.A"。该病毒利用阿拉法特逝世的消息来引诱用户，运行病毒附件，进行传播。信件的标题为"Latest News about Arafat!!（阿拉法特的最新消息!!）"，其内容为" Hello guys!Latest news about Arafat!Unimaginable!!!!! "（嗨伙计们，最新的阿拉法特新闻！太不可思议了！），邮件带有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件。另一个附件为ARAFAT_2EMF，该文件可以利用微软漏洞。当附件被打开后，上述文件会在受感染的系统中生成一份自身拷贝。该病毒还可利用网络共享进行传播。希望广大用户留意此类邮件，不要出于好奇运行附件，形成感染。

病毒名称： WORM_ScardSer.A
其他病毒名：WORM_GOLTEN.A(Trend Micro)
　　　　　　W32.Scard（Symantec）
　　　　　　Worm/Alert.a（江民）
　　　　　　Worm.SCardSer（瑞星）
感染系统：Windows 2000, Windows 95, Windows 98,
　　　　　 Windows Me, Windows NT, Windows Server 2003,
　　　　　Windows XP
病毒特征：

1、生成病毒文件

　 病毒运行后在%System％目录下生成ALERTER.EXE、COMWSOCK.DLL、DMSOCKDLL、 IETCOM.DLL、SCARDSER.EXE、SPTRES.DLL。（其中，%System%为系统文件夹，在默认情况下，在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32）

2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon下创建Shell = "Explorer.exe"
　　病毒还会生成如下注册条目，以便能够下载远程文件，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 下创建
Dfile = "http://www.abost.com/update/031.exe"

3、通过电子邮件传播

　　病毒电子邮件特征如下：
　　
主题: Latest News about Arafat!!!
正文:
　　　Hello guys!
　　　Latest news about Arafat!
　　　Unimaginable!!!!!

　　该病毒含有两个.EMF文件作为附件。ARAFAT_1.EMF是一个.JPG文件，显示内容如下：另一个附件为ARAFAT_2.EMF，该文件包含了可以利用微软Windows XP Metafile Heap Overflow的漏洞。当附件被打开后，上述文件会在受感染的系统中生成一份自身拷贝。

4、通过网络共享传播

　　病毒会尝试通过网络共享驱动器传播，它会在默认的网络文件夹ADMIN$和IPC$中运行病毒自身的拷贝。病毒会尝试使用自带的密码列表连接网络共享驱动器，来实施进一步的传播。

5、病毒运行
　　　　　
　　当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候，病毒就会开始运行。病毒会在系统中生成如下进
程： LSASS.EXE、EXPLORER.EXE 。病毒还会安装.DLL文件，此文件会从远程位置下载其他组件并可用于自身传播。病毒会添加注册表项目，用于初始化远程文件下载。


手工清除该病毒的相关操作：

1、删除恶意文件

　 右击开始，点击搜索或寻找，这取决于当前运行的Windows版本。在名称输入框中， 输入：COMWSOCK.DLL、DMSOCK.DLL、IETCOM.DLL、SPTRES.DLL ，找到该文件然后选择删除。

2、修复注册表

　　打开注册表编辑器。点击开始->运行，输入REGEDIT，依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>WindowsNT>
CurrentVersion>Winlogon ，找到右侧面板中Shell = "Explorer.exe"，并将其删除。
依次双击左边的面板中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，找到右侧面板中的Dfile = "http://www.abost.com/update/031.exe"，并将其删除。

3、修补系统漏洞

　　Microsoft Security Bulletin MS04-032，到以下网址下载该漏洞的补丁程序
http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx

专家提醒：

1、安装正版的杀毒软件和防火墙，局域网要安装企业版的产品，根据自身要求进行合理配置，经常升级并启动"实时监控"系统，充分发挥安全产品的功效。在杀毒过程中要全网同时进行，确保彻底清除。

2、不要轻易登陆不明网站，也不要随意下载使用软件，在安装使用下载的软件和程序前要确认无毒才能运行，因为很多黑客和木马会嵌入在一些应用程序中，在用户下载和安装使用这些程序时，注入到用户的机器中，并窃取用户数据和重要信息。


　

分享： © 2023 版权所有：河海大学网络安全与信息化办公室 版权所有 地址：江苏省南京市西康路1号 反馈邮箱：xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理 河海大学微门户 河海大学移动办公 河海网信办微信公众号