最近一段时间,网络中冲击波变种病毒蔓延很快,请广大校园网用户打好补丁,及时升级杀毒软件。
W32.Welchia.B.Worm 是 W32.Welchia.Worm 的变种。如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,则该蠕虫将尝试从 Microsoft® Windows Update 网站下载 Microsoft 工作站服务中的缓冲区溢出可能允许执行代码 和 Microsoft Messenger 服务中的缓冲区溢出可能允许代码执行 补丁,然后安装补丁并重新启动计算机。
该蠕虫还尝试删除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫。
W32.Welchia.B.Worm 利用多个漏洞,包括:
出现 %Windir%\system32\drivers\svchost.exe 文件表示可能已感染。 使用 W32.Welchia.Worm 杀毒工具杀毒
Symantec 安全响应中心已经开发了一种杀毒工具,可用来清除 W32.Welchia.B.Worm 感染。这是消除此类威胁的最简便方法,应该首先尝试使用此工具。要获取 W32.Welchia.Worm 杀毒工具,请阅读文档:W32.Welchia.Worm 杀毒工具。手动删除作为杀毒工具的替代,您也可以依照下列说明手动删除。以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。 - 禁用系统还原 (Windows Me/XP)。
- 更新病毒定义。
- 将计算机重启到安全模式或者 VGA 模式
- 运行完整的系统扫描,并删除所有检测为 W32.Welchia.B.Worm 的文件。
有关每个步骤的详细信息,请阅读以下指导。
- 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一: - 更新病毒定义
赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义: - 运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
- 使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
- 将计算机重启到安全模式或者 VGA 模式
請关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式 - Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 操作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
- Windows NT 4 用户:将计算机重启到 VGA 模式。
- 扫描和删除受感染文件
- 启动赛门铁克防病毒程序,并确保已将其配置为扫描所有文件。
- 运行完整的系统扫描。
- 如果检测到任何文件被 W32.Welchia.B.Worm 感染,请单击“删除”。