Win32/Aliz

Win32/Aliz“爱丽兹”病毒是一个通过SMTP引擎来发送带病毒邮件的病毒，使用汇编语言编写，并压缩过。该网络蠕虫传播的病毒附件大小约是4096字节。文件名称是：whatever.exe。

含有病毒邮件的主题是随机的，是由以下的五部分中的任意选择一个形成的，因此需要用户在收到类似的信件时特别注意。这5部分分别是：

(1) Fw: 和 Fw: Re: (2种)

(2)Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many(10种)

(3)website、site、pics、urls、pictures、stuff、mp3s、shit、music、info(10种);

(4)to check、for you、i found、to see、here、- check it(6种);

(5)!!、!、:-)、?!、hehe ;-) (5种)

从以上的分析可以看出，邮件的主题可能有6000种之多，举一个例子是：

Fw: Cool website to check !!.

传播病毒的邮件地址是从以下的注册表键值来获得：

HKEY_CURRENT_USERSoftwareMicrosoftWABWAB4Wab File Name，典型的默认值是：

C:WINDOWSApplication DataMicrosoftAddress Book默认.wab。

发送至SMTP服务器的通过查找注册表键获得：

HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts0000001查找其中的SMTPServer的数值来确定的，而邮件的正文只有一个单词:peace (和平)。

病毒的清除：

1、如果用户的硬盘分区是WIN98、WINDOWS NT4、WINDOWS 2000、WINDOWS XP的NTFS格式，请用户安装KVW3000 5.0以上版本，该版本可在任何WINDOWS系统下查杀内存和被WINDOWS已经调用的染毒文件，可在系统染毒的情况下杀除病毒。

2、如果用户硬盘装的操作系统是WINDOWS 98之前版本，也可使用干净DOS软盘启动机器。

3、执行KVD3000.EXE或KV3000.EXE，查杀所有硬盘中的病毒。

4、为了预防该病毒在浏览该带毒信笺可以自动执行的特点，必须下载微软的补丁程序。地址是：

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp，可预防此类病毒的破坏。

5、WINDOWS 2000如果不需要可执行的CGI，可以删除可执行虚拟目录，例如：/scripts等等。

6、如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区。

7、开启KVW3000实时监测病毒防火墙。

8、再将邮箱中的带毒邮件一一删除，否则又会重复感染。