【重要】关于邮件病毒及安全提示(2004/4/2更新!)

i386

最近有许多专门网网友反应，不断的收到含有22KB附件的电子邮件，标题各异，发信地址各异，且有规律显示，不少地址为专门网网友的电子邮件地址。我自己也被这些信件骚扰，且这两天日渐增多，已经由原来的一天2封左右增加到一天30封左右，可见不慎打开附件并运行的用户越来越多。

由于通过电子邮件地址列表传播的病毒有关联性，因此我认为有必要在专门网统一发个公告，提示网友检查自己的计算机是否感染病毒，并及时删除自己信箱中的不良邮件，以免误染病毒。这个病毒本身对计算机危害不大，但对网络速度和电子邮件服务的速度有极大的消耗作用，严重影响网络服务的运行和电子邮件服务器的效率。

特此公告如下：

最近在专门网网友电子邮箱中常见一种蠕虫病毒，请网友注意查杀。

病毒邮件特征：含有22KB(不同的软件可能显示略有不同)大小的邮件附件。发信人为你熟悉或不熟悉的邮件地址。信件标题和信件正文皆为一句话的英文或者为空。

感染病毒特征：在系统进程(Ctrl+Alt+Del -> 任务管理器 -> 进程)中能发现名为 taskmon.exe 的进程。注册表特征略。

这个病毒有几个名字，许多变种。典型的如 W32.Novarg/Mydoom, 以及W32.NetSky.a@mm, b@mm, c@mm。在专门网网友中广泛传播的以 NetSky@mm 为主。

查杀方法：

收到带毒邮件：直接删除，切勿打开附件。
如果中毒：
Norton 专杀工具*推荐*：http://securityresponse.symantec.com/avcenter/FxNetsky.exe
金山 专杀工具：
http://download01.duba.net/download/othertools//Duba_Novarg.EXE
瑞星 专杀工具：
http://download.rising.com.cn/zsgj/RavNovarg.exe
经验证，Norton专杀工具对该病毒变种的识别率最高。其他的有可能忽略某些 NetSky.c@mm 病毒体。

自微软发布 W32.Novarg/Mydoom/NetSky@mm 病毒警告以来，Novarg病毒的散播却逐渐加强加快。由于该病毒采用自带 SMTP（发信）服务来发出电子邮件，因此不受个人机器上 SMTP 服务设置的影响，充分利用个人机器资源发送邮件，可以达到很高的发信效率，实现快速传播。又因为其信件中“发信人”地址来自本机 Outlook 等软件中的电子邮件列表，标题又具有随机性和诱惑性，导致用户误打开率非常高。

就我收到的病毒邮件来看，一开始不太规则，但这两天地址明显集中，主要来源于教育系统（大学），门户网站，以及一些大企业，如 上海通用，北京金山，金蝶集团，新浪(staff.sina.com)。发信量越来越大。就我个人来看，每天已经达到30余封，估计还会再上升，已经严重的影响了正常信件的选取。因为发信地址，标题和内容都具有伪装性，所以基本无法过滤。

因此，尤其请在上面提到名字或相关领域工作的网友注意查杀自己信箱和系统中的蠕虫病毒。其他网友也可以在此提示一下线索，提醒相关领域的网友查杀自己机器中的病毒。

电子邮件是人与人紧密联系的纽带。希望专门网社区中的大家自助，互助，还这个纽带一片干净的天空。

2004/4/2 更新
这里是我写的一个新的防病毒提示，供大家参考。如果大家有功能完善的收费邮箱，应当有按规则过滤的功能。大家可以增加以下的过滤关键字：
.zip
.scr
.exe
.bat
.com
.pif
把这些过滤条件应用于“附件名称”的过滤上。滤掉了含这些名字的附件，可以挡住 99% 的带病毒邮件。为了防止误滤，建议把关键字写成如“.bat”而不是“bat”。
我滤掉了.zip，这个做法争议比较大，大家可以酌情处理，不过我推荐还是用上，同时自己的压缩包用 rar 格式比较好一些。
我在我的邮件服务器上试着做了这些过滤后，效果非常显著，几乎屏蔽掉了所有病毒邮件。也推荐其他的邮件服务器管理员和vip信箱用户一试，彻底摆脱novarg/netsky的烦恼。

[ Last edited by i386 on 2004-4-2 at 00:44 ]

ati725

支持！我也经常收到一堆类似邮件，唉

i386

在一堆病毒邮件中挑出有用的信，实在是痛苦阿
希望大家多多注意自己的机器。。。哎。。。。

ati725

QUOTE:

Originally posted by i386 at 2004-2-27 12:59 AM:
在一堆病毒邮件中挑出有用的信，实在是痛苦阿
希望大家多多注意自己的机器。。。哎。。。。

我就老这样，现在看只要有附件的都删

c@ini@o

置顶3天吧，免得掉下去网友看不见。

[ Last edited by c@ini@o on 2004-2-27 at 03:53 ]

laisuper

现在的病毒是越来越厉害了，防不胜防啊。

gregg

除了版主说的“含有22KB附件的电子邮件”外，
今天我还收到两封33KB附件的电子邮件，也是病毒。

tonydark

我登陆网站收发EMAIL
但是也有
郁闷

w4dia

建议webmaster给mail server加个病毒防火墙，在qmail、postfix等实现起来很简单的，而且效果也蛮不错的。

fbi123

一般从来不打开含有附件的邮件，除非是和朋友约定好的发一个什么图片，软件之类的。
安全第一嘛！呵呵

bigbow

前几天我还专门在windows版咨询该问题了

vj

我每天都收到若干封，不过都被邮件服务器直接过滤了，就给我发个通知。。

i386

经过发帖子通知提示。今天的病毒邮件少了一半，还算有效。。。。

ibm

嗯, 不行, 我的邮件地址只有登记在 Thinkpad 论坛, 这几天每天都收几十封病毒,闷啊. 不知道这个病毒是怎么从论坛收集我们的邮件地址的.

zeppelinleung

诺顿去官方网站下载很慢，大家下这个把。压缩后才100多K

ritaku

这几天打开邮箱就是VIRUS邮件....
苦啊.....

CBB

哈哈陌生邮件，英文邮件。我一率照删

i386

QUOTE:

Originally posted by i386 at 2004-2-29 02:37:
经过发帖子通知提示。今天的病毒邮件少了一半，还算有效。。。。

今天又有所好转。病毒邮件又少了一半。
看来本文还是有一定作用的。

不懂就问

我在yahoo的信箱里面也经常有这些邮件，每天都要4,5封。
特点是：信件都是英文的，信件的主题内容千奇百怪。
大家可要提高警惕啊。

diomandcold

前段时间我的中了，杀了也不行，结果重新分区重装，痛苦呀。

song_1118 - T50-3

呵呵，现在symantec每天更新病毒代码两三次，这可非同小可啊！

sdleeyan

很难从中找到自己的邮件，什么时间才能消除垃圾邮件啊

宁静的海豚

刚才又收到很多，唉

i386

NetSky@mm 的影响已经大大超过我的预料。
目前还没有好的主动解决的方案。

远方

现在每天打开信箱就是先清理这些带附件的东西，真是损时损力，基本上有附件的都删，幸好公司server有过滤器，不然还不知道会发生什么事

Alexs

我的诺顿可以自动查杀,就是每次查信都有这个带毒的信,实在麻烦,昨天在网站上登录了邮箱,把几个毒地址给禁了,不知有没有用

i386

QUOTE:

Originally posted by Alexs at 2004-3-5 14:16:
我的诺顿可以自动查杀,就是每次查信都有这个带毒的信,实在麻烦,昨天在网站上登录了邮箱,把几个毒地址给禁了,不知有没有用

这些地址往往是无辜的。。。

日上三竿

我的任务管理器里不时出现的taskmon.exe ，而是Desktop Set，我没有运行任何程序时就有，以前是没有的。请问这是不是病毒？提示一句：我电脑里装的有FxNovarg，每周我都要运行它杀一次毒，并没有查出Desktop Set是病毒；另外我装的是诺顿企业版、木马克星这两个杀毒软件，每周都升级一次的，如果Desktop Set是病毒的话应该能查出的。
请大虾赐教了！