我昨晚清除WORM_OPASERV.F("硬盘杀手")的经验^_^

可恶的WORM_OPASERV.F("硬盘杀手")!!让我昨天晚上加班到11点!今天就在这里留下我杀毒的一点经验^_^

"硬盘杀手"最新变种病毒除了与其祖辈有相同的破坏能力外，更可以自动卸载其它opasoft病毒。并且,该病毒提供了类似反病毒软件一样的在线升级更新功能,在目前已发现的病毒中是极为罕见的.

这是摘自金山毒霸的一段描述:
硬盘杀手的危害性与传播能力都远远大于CIH，是一个需要高度防范的病毒。在微软安全公告MS00-072中已经提出解决方案，并提供了补丁的下载。它利用了Windows系统的漏洞，如果您没有升级Windows的补丁，将很有可能中招，病毒会破坏Windows系列中的Winme、WinNT、WinXP，在大多数企业的办公环境的局域网中，极易传播此种病毒，因为它利用共享目录来传播，同时病毒也可以通过internet来传播，病毒会破坏硬盘中的数据。

我们先看看病毒自身的情况吧:
WORM_OPASERV.F

别名:Worm.Win32.Opasoft.a, Win32/Opaserv.A.worm, W32/Opaserv-A, Win32/Opaserv.Worm,

Win32.Opaserv.A worm
关联病毒: WORM_OPASERV.E
在网路流传: 不会
可侦测的日期: 2002/10/24
语言:英语
平台: Windows
加密: 不会
病毒大小: 26,624 字节

病毒行为和生成文件

此蠕虫查找相同域中拥有完全访问权限的共享C:\驱动器的目标计算机，并且使用 SMB (Server Message Block Protocol) 访问这些驱动器. 然后把自身注册为一个服务进程并不断查找连到网络上的机器. 在运行时, 该蠕虫在本机以及具有共享驱动器的远程机器Windows目录中生成一个名为ALEVIR.EXE的副本. 然后删除最初执行的那个拷贝，使得Windows目录中不再有这个副本. 从分析看来该蠕虫会发送信息到下列站点http://www.nt.com.br 并从这个站点下载自身的更新拷贝. 然而, 该站点当前不能访问.蠕虫然后生成ALEVIR.DAT 和 ALESOUT.DAT 在目录 C:\ 中.这些文件用于同站点 http://www.nt.com.br交换信息.

自启动程序

在本地机器上,该蠕虫会在注册表中建立如下自启动项目，使得病毒可以在每次Windows启动时运行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Alevir = ?Windows%\ALEVIR.EXE?/p> (%Windows% refers to the Windows directory, which is usually C:\Windows or C:\WINNT.)
也会在C:\目录中建立名为PUT.INI的文件，并将Windows目录中配置文件WIN.INI的内容复制到该文件中，然后在PUT.INI的[windows]小节中添加如下项目:
run = %Windows%\ALEVIR.EXE?/p> 然后把PUT.INI的内容复制回WIN.INI. 这些改变可以使ALEVIR.EXE在Windows启动时运行.

说明:
此网络蠕虫通过网络上共享的C:\驱动器传播.会尝试从一个特定站点下载一个可执行程序,象是病毒的更新版本.病毒修改注册表和配置文件WIN.INI,使得每次系统启动时,病毒可以自动执行.

再来看看杀毒的解决方案:(注意: 在清除该病毒前,建议将感染机器临时脱离网络)

自动清除步骤
到金山毒霸网站下载硬盘杀手专杀工具
到趋势科技下载Trend Micro System Cleaner,并下载并使用最新的病毒特征库放在同一目录,然后在windows下运行sysclean.com.

手动清除步骤
删除注册表中的自启动项目:
删除注册表中的自启动项目可以阻止恶意程序在系统启动时执行.
1.打开注册表编辑器. 单击 开始>运行, 输入 REGEDIT 然后按 enter 键.
2.在左边的列表中, 双击下列键:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3.在右边的列表中, 查找并删除具有如下值的键:Alevir = %WINDOWS%\Alevir.exe
%Windows% 指Windows安装目录, 通常为 C:\Windows 或 C:\WinNT.
4.关闭注册表编辑器.

删除系统文件中的自启动项目:
一个恶意程序可能会修改系统文件使得自身在系统启动时自动执行.这些启动项目必须在系统可以安全启动前被删除.

1.打开系统配置编辑器. 请单击开始>运行, 输入 SYSEDIT, 然后按 Enter 键.
2.在系统编辑器中, 选择 WIN.INI 窗口.
3.在 [windows] 小节中, 查找以 run = 开始的行
4.在同一行中, 删除恶意代码%Windows%\Alevir.exe
5.关闭系统配置编辑器并在提示存盘时单击"是".中止恶意程序运行

下列步骤用于中止内存中运行的恶意程序进程.

1.打开任务管理器.
Win98/WinME 用户, 请参照下面的注意事项,在 Windows NT/2000/XP 的系统上, 按CTRL+SHIFT+ESC, 然后单击进程选项卡.
2.在运行的程序清单中, 查找进程:ALEVIR.EXE
3.选择该进程, 然后按结束任务或结束进程按钮, 按钮名称取决于您安装的Windows版本.
4.为确认病毒程序进程是否被中止, 请关闭任务管理器, 然后再次打开.
5.关闭任务管理器.
注意: 在运行 Windows 9x/ME 的系统上, 任务管理器不显示特定进程.您需要使用第三方的进程浏览器中止恶意程序的进程. 其他系统, 请在做下述步骤前重新启动您的系统.

运行 Trend Micro Antivirus
使用Trend Micro antivirus扫描您的系统并删除所有侦测为WORM_OPASERV.F的文件. Trend Micro 客户必胂略?最新的病毒特征库扫描他们的系统. 其他 Internet 可以使用 HouseCall, Trend Micro的免费在线扫描.

修补微软漏洞
Microsoft Windows 9x/Me 提供了通常所说的基于口令保护的文件和打印共享服务(share level access).

然而，现在该功能的实现方式导致了一个文件共享的安全问题, 一个恶意客户可以使用特殊的客户端工具在不知道访问该共享的完整口令的情况下访问该文件.
Microsoft已经在Microsoft Windows 95, 98, 98 Second Edition, 以及 Windows Me上发布了针对这一漏洞的补丁.
若要查询详细信息请访问如下连接.下载针对如下操作系统的补丁:

Microsoft Windows 95:
http://download.microsoft.com/download/win95/Update/11958/W95/EN-US/273991USA5.EXE
Microsoft Windows 98 and 98 Second Edition :
http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/273991USA8.EXE
Microsoft Windows Me :
http://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/273991USAM.EXE

这里只说了我杀WORM_OPASERV.F的经验,如果遇到他们的其它变种那么手工杀毒的步骤可能不同,大家可以去www.duba.net www.trendmicro.com 或者www.symantec.com这些网站上查找相关资料,个人认为这些网站做的不错.