>

    日前，全面整体网络安全解决方案及服务提供商--冠群金辰[CA-JinChen]发出病毒警告，一种名为"刻薄"（Win32.Kirbo）的新型蠕虫开始发作。该病毒疯狂度虽低、但普及度为中，且破坏性较高。下面是对其症状及防治方法的介绍，请广大用户加以防范。

病毒特性

    Win32.Kirbo是一种通过网络映射驱动器、IRC、ICQ以及对等网传播的蠕虫病毒。运行时，蠕虫以CuteKirby.Scr和TaskSystemDll.Exe为文件名复制自己到系统目录下，并修改下面的注册表，以便Windows下次启动蠕虫副本文件可以自动运行：
    HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/WinSysStartUpWKbLw="%System%/TaskSystemDll.Exe"
    HKCU/Control Panel/Desktop/SCRNSAVE.EXE = "%System%/CuteKirby.Scr"
此蠕虫会生成一个位图文件（文件名是KirbyBmp.Bmp，大小为1782 字节）以及一个音频文件（文件名是KirbyWins.mp3，大小为66003字节）
 

    在操作系统为Win9X的机器上，蠕虫会通过修改下面的注册表而更改用户的桌面背景：

HKCU/Control Panel/Desktop/Wallpaper = "%Windows/KirbyBmp.Bmp"
[Desktop]
Wallpaper=%System%/KIRBYBMP.BMP

    如果用户的电脑中装有mIRC应用程序，蠕虫会修改script.ini文件，以便发送病毒副本文件CuteKirby.Scr。同时，蠕虫Kirbo.A会通过下列点对点工具传播，其相应的感染文件名为：

    KaZaA： Rage Against The Machine - Sleep Now In This Fire.Mp3.Exe
    BearShare： Therion - Nifelheim.Mp3.Exe 
    Edonkey2000：  Feeder - Under The Weather.Mp3.Exe
    Grokster： AFI - 6 To 8.Mp3.Exe
    Morpheus：  PennyWise - Land Of The Free.Mp3.Exe
    AIM95：  CutiePinkKirby.Scr
    ICQ： WinIso - Iso Ripper.Exe

    同样，蠕虫也会以Kirbster.Exe为文件名拷贝副本文件到D盘至 Z盘的根目录下。并会显示下面这个错误信息： 

    其他一些蠕虫生成的文件包括：C:/KirbyMail.Vbs（群发邮件脚本）、%Windows%/KirbyFlooder.Vbs、%Windows%/KirbyFlooder.Bat.
文件KirbyFlooder.Bat会执行脚本KirbyFlooder.Vbs，而KirbyFlooder.Vbs则会显示下面这个信息框：

    蠕虫含有一个极具破坏性的有效载荷，会在特定情况下删除下面目录中的所有文件：
/PC-Cil~1
/ToolKit/FindVirus
/AntiVi~1
/VS95
/TBAVW95
/f-macro
/eSafen
/Progra~1/FindVirus
/Progra~1/FWIN32
/Progra~1/QuickH~1
/Progra~1/AntiVi~1
/Progra~1/Grisoft/AVG6
/Progra~1/AvPersonal
/Progra~1/Trojan~1
/Progra~1/Kasper~1
/Progra~1/TinyPe~1
/Progra~1/ZoneLa~1/ZoneAlarm
/Progra~1/Comman~1/F-PROT95
/Progra~1/TrendM~1/Pc-cil~1
/Progra~1/PandaS~1/PandaA~1
/Progra~1/eSafe/Protect
/Progra~1/McAfee/McAfee FireWall
/Progra~1/McAfee/VirusScan
/Progra~1/Common~1/Symant~1/Script~1
/Progra~1/Common~1/Symant~1
/Progra~1/Symantec
/Progra~1/Norton~2
/Progra~1/Norton~1

 病毒的检测/清除

    KILL安全胄甲 inoculateIT v23.61.47 vet 10.5/4682 版及kill 98/2000 v43.47可检测/清除此病毒。

(千龙科技)