金山毒霸反病毒试验室应急处理中心于2月12日已经截获一个完全利用漏洞进行传播的病毒,攻击行为与“冲击波克星”极为相似,疑为出自同一国人之手,命名为“冲击波克星”变种“Worm.Welchia.b”。该病毒有一个鲜明的特点就是“仇日”,只会攻击日文系统,而对中、英文系统还进行安全保护,帮助打上系统漏洞的补丁。
据金山反病毒工程师介绍:该病毒只会对具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系统进行传播。只要用户打上系统最新的补丁程序就可以不受此病毒的侵扰。
该病毒在激活后会判断操作系统的语种,如果为日文操作系统且安装了IIS的系统,病毒就会通过注册表信息找到IIS共享的目录,并释放一个网页文件替换该目录下的文件。文件的内容显示了几个特殊日期,这些日期都是日本发动侵略战争的标志性日期,包括九一八事变纪念日、七七事变、南京大屠杀、珍珠港事变、两颗原子弹的爆炸日期和日本投降纪念日。在网络中有大量网站服务器是用IIS来架设的,如果有人访问这类被该病毒攻击的网站就会看到如下内容:
非常有意思的是,该病毒在对中文、韩文或者是英文系统要进行非常细心的保护,它不但为这些系统打上漏洞补丁,还帮助清除最近比较流行的“Mydoom”(诺维格、Worm.Novarg)病毒及其变种。病毒会在系统时间为2004年6月时自我中止。
金山毒霸已于当日完成应急处理,只要升级当天的病毒库就可完全处理该病毒。用户只要在以下网址下载升级补丁也可完全抵卸该病毒的入侵:
http://www.microsoft.com/downloads/results.aspx?productID=&freetext=823980&DisplayLang=zh-cn http://www.microsoft.com/downloads/results.aspx?productID=&freetext=815021&DisplayLang=zh-cn http://www.microsoft.com/downloads/details.aspx?FamilyID=2467fe46-d167-479c-9638-d4d79483f261&DisplayLang=zh-cn http://www.microsoft.com/downloads/details.aspx?FamilyID=da03519e-8a66-4030-ba96-24786ea32633&DisplayLang=en 如没有安装金山毒霸,您还可以登录
http://online.kingsoft.net 使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入严防该病毒的入侵.