标题: [转帖] 非典（Worm.Coronex）病毒档案 [打印本页]

---

作者: 红色狂想     时间: 2003-4-26 00:00    标题: [转帖] 非典（Worm.Coronex）病毒档案

警惕程度：★★★☆
发作时间：随机
病毒类型：蠕虫病毒
传播方式：邮件
运行环境: WINDOWS 9X/NT/2000/XP
感染对象：系统文件

病毒介绍：

2003年4月23日，正当“非典”疫情不容乐观的时候，瑞星全球反病毒监测网也在国内率先截获了首例电脑病毒：“非典（Worm.Coronex）”。该病毒由汇编语言编写，当病毒运行时，它会把自己复制到windows目录下，并命名为："corona.exe"。当病毒第一次运行时会修改IE首页并出现标题为：“SARS virus”,内容为：“corona virus”的对话框。病毒会通过邮件地址向外大量发送病毒邮件，从而导致系统资源严重占用，系统无法正常工作。

病毒的发现与清除：

瑞星杀毒软件2003版或瑞星在线杀毒可以撤地清除该病毒, 对于有局域网的企事业单位，最好采用网络版进行全网监控与全网杀毒。瑞星杀毒软件15.32.01及以上的版本都可以清除此病毒，望广大用户及时升级。

此外，用户可以根据该病毒的特征，进行手工清除
1. 病毒会把自己复制到windows目录下，并命名为：corona.exe，用户可以直接将该文件删除。
2. 该病毒会在注册表的自启动项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run中添加： PC-Config32 = %WinDir%\corona.exe的病毒自启动项，用户可以直接将该注册表项删除, 以防止病毒自启动。
3. 病毒第一次运行时，会修改IE的首页为：http://www.who.int/csr/don/2003_04_19/en，用户可以在IE设置中将首页改回，如修改不成功，可以使用瑞星的注册表修复工具进行修复。
4. 病毒第一次运行时还会出现标题为：“SARS virus”,内容为：“corona virus”的对话框,点击确定可退出，如果出现该信息，则证明病毒已经驻留内存，此时用户需用瑞星杀毒软件的内存清除功能进行清除。
5. 病毒会向外发送大量邮件，邮件的发件地址、标题、正文件、附件为以下情况中的一种：
sars@hotmail.com、SARS、Severe Acute Respiratory Syndrome、sars.exe
sars2@hotmail.com、I need your help、Severe Acute Respiratory Syndrome、
corona.execorona@hotmail.com、Virus Alert!、SARS Virus、virus.exe
virus@yahoo.com、Corona Virus、honk kong、hongkong.exe
deaths@china.com、bye、deaths virus、deaths.exe
virus@china.com、SARS、SEE Ya、sars2.exe
virus2@china.com、SARS Virus、SARS Corona Virus、cv.exe
用户收到这样的信件要直接删除。
[em01] [em14] [em27]

---

作者: Dark-Destroy     时间: 2003-4-26 00:00
貼的好呀!!