W32.Shatrix@mm病毒又称为W32.Shatrix,是2002年1月7日发现的用Delphi编写的最新蠕虫病毒,该病毒有两种传播途径,一种为我们大家都很熟悉的OutLook传播;另外一种为网络驱动器传播。这两种传播途径其实已经很"古老"了,但是由于该病毒的强大破坏性,我们不得不对他另眼看待:
(1) 修改系统默认主页目录的所有htm、html、asp文件为病毒提供的特定字符;
(2) 将病毒自身改名为任意8个字符的可执行exe文件拷贝到系统的system目录;
(3) 任意删除系统的可执行exe文件,然后,拷贝病毒自身到该exe文件目录并使用该exe文件原来的图标(icon)来迷惑用户;
看完以上病毒破坏功能,我们可以发现病毒的破坏性有以下特征:
(1)该病毒在修改系统默认主页目录的网页文件方面已经没有太大作为,因为经过W32.Gokar.A@mm等病毒的"洗礼"(见:http://www.yesky.com/20011219/210585.shtml),修改系统默认主页目录C:\inetpub\wwwroot已经成为一个基本的安全考虑因素,大部分用户的主页都已经不在放在C:\inetpub\wwwroot目录。当然,如果一些用户仍然没有更改主页目录,建议还是将主页放在与操作系统不同的目录,这样无论对于防范病毒还是防范黑客都更加安全。
(2)一般来说,用户对于system目录的文件都比较"信任",对于一些可执行文件即使有一些怀疑,有时候还是会执行它;而且,我们一般不敢随意删除system目录下的文件,所以,当病毒将exe文件放入system目录并且具有随机8位文件名的时候,我们即使怀疑一般也不敢将它怎样。而对于防病毒软件,由于这些加入system目录的可执行文件的文件名不确定,要软件将这些exe文件准确、完全的清除,可能还是需要很费一番脑筋。所以,该病毒的完全清除具有较大的困难。
(3)病毒将自身改名代替系统任意可执行exe文件,并且使用不同的图标,这样,我们完全不能根据图标来发现exe文件是否被代替,只能根据文件大小来确定。所以,一不小心,我们往往运行了病毒文件。同样,在清除病毒方面,对于一些感染比较严重的计算机,我们几乎没有任何办法能清除完病毒却又将系统完全复原,因为我们没法恢复已经被病毒删除代替的exe文件。
