“魔波”高危病毒现身 专家称其可能会大规模爆发
瑞星黄色（三级）安全警报
[快讯]8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。

    瑞星反病毒专家介绍说，该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。由于该病毒出现离微软发布补丁程序只有短短几天时间，有很多用户还没有来得及对系统进行更新。

    因此，瑞星发出黄色（三级）安全警报，瑞星反病毒专家预测将会有更多的电脑受到该病毒攻击，“魔波”病毒甚至有可能会像“冲击波”、“震荡波”病毒一样大规模爆发。


 


    根据分析，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内，因此该病毒很有可能为国人编写。

    针对此恶性病毒，瑞星已经升级。瑞星杀毒软件2006版18.40.01版及更高版本可彻底查杀此病毒，请广大用户及时升级杀毒软件。同时，瑞星建议用户开启瑞星个人防火墙2006版，并关闭139及445端口。同时，登陆微软网站下载并安装MS-06-040补丁程序以防范此病毒攻击。遭受到该病毒攻击的用户，也可以拨打反病毒急救电话：010-82678800寻求帮助。

（注：该等级警报为2006年度第一次发布）

“魔波（Worm.Mocbot.a）”蠕虫病毒分析报告
病毒名称：魔波（Worm.Mocbot.a）
　　　　　魔波变种B（Worm.Mocbot.b）

文件类型：PE

驻留内存：是

文件大小：9,313 bytes  MD5: 2bf2a4f0bdac42f4d6f8a062a7206797（Worm.Mocbot.a）
　　　　　9,609 bytes  MD5: 9928a1e6601cf00d0b7826d13fb556f0（Worm.Mocbot.b）

发现日期：2006-8-14

危害等级：★★★★

受影响系统：Windows2000/XP

该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃，网络连接被断开等现象。




 
被感染的计算机会自动连接指定的IRC服务器，被黑客远程控制，同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”的木马病毒。

分析报告：

一、 生成文件：

“魔波（Worm.Mocbot.a）”病毒运行后，将自身改名为“wgavm.exe”并复制到%SYSTEM%中。

“魔波变种B（Worm.Mocbot.b）”病毒运行后，将自身改名为“wgareg.exe”并复制到%SYSTEM%中。

二、 启动方式：

病毒会创建系统服务，实现随系统启动自动运行的目的。

“魔波（Worm.Mocbot.a）”：

服务名: wgavm

显示名: Windows Genuine Advantage Validation Monitor

描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

“魔波变种B（Worm.Mocbot.b）”

服务名: wgareg

显示名: Windows Genuine Advantage Registration Service

描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

三、 修改注册表项目，禁用系统安全中心和防火墙等

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"

四、 连接IRC服务器，接受黑客指令

自动连接ypgw.wallloan.com、bniu.househot.com服务器，接受指令。使中毒计算机可被黑客远程控制。

五、 试图通过AIM(Aol Instant Messegger)传播

会在AIM(Aol Instant Messegger)中发送消息，在消息中包含一个URL(下载地址)，如果用户点击地址并下载该地址的程序，则好友列表里的人都将收到该条包含URL的消息。

六、 利用MS06-040漏洞传播

该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞（MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞，远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码)

微软的补丁地址：http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true

七、 自动在后台下载其它病毒

会自动从互联网上下载名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”，该病毒会在用户计算机TCP随机端口上开置后门。

新病毒八月肆虐互联网 三步清除“魔波”病毒
8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。

    该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。


   

    遇到“魔波”病毒攻击，用户无需恐慌。您只需按照下面三个步骤，即可快速清除该病毒。

第一步：使用个人防火墙拦截病毒攻击

1、 启动瑞星个人防火墙主程序，点击“设置”菜单，选择“IP规则”。

2、 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。

3、 规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。



第二步 打补丁

    您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/ 安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

第三招 清除病毒

    由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

    针对“魔波”病毒，瑞星已经升级。瑞星杀毒软件2006版18.40.01版及其更高版本可有效查杀此病毒。

瑞星发布 2006年8月7日“橙色八月”病毒疫情报告
8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有常见的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。针对此类病毒，瑞星公司发布今年首次橙色（二级）警报，并将它们通称为“橙色八月”以提醒广大用户注意防范。

    来自瑞星客户服务中心的数据表明，目前感染此系列病毒的人数已经过万，仅8月7日（星期一）9点到12点四个小时，就接到了共5108个有关此类病毒的求助电话。8月5日和6日两天虽然是节假日，但瑞星客服中心仍然接到了大量的用户求助电话、电子邮件等，与上月（7月）同期相比，通过电话求助的数量比上月增加了101.02％，通过电子邮件的求助数量也提高了55.48%，而使用远程专家门诊进行远程救助的用户数量则猛增为原来的167.30%。

    瑞星反病毒专家分析认为，导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。很可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了大量该类病毒，预计近段时间该类病毒数量还会继续增加。

    针对此类病毒，瑞星杀毒软件2006版已经升级至18.38.42版，请广大用户及时更新杀毒软件到最新版本，并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。已

    感染此类病毒的用户可以登陆http://it.rising.com.cn/Channels/Service/index.shtml，下载免费专杀工具，或通过“瑞星在线专家门诊”寻求远程救助，也可拨打反病毒急救电话：010-82678800寻求帮助。

病毒专攻杀毒软件 专家教你三招识别橙色八月病毒
8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有正常的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ通行证（Trojan.PSW.QQPass）”以及“密西木马（Trojan.PSW.Misc）”等病毒的最新变种。瑞星已发布今年首次橙色（二级）安全警报，提醒广大用户警惕此类病毒。

    针对此类病毒，可用简单的三个方法对它们进行识别：

第一招

    打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，同时取消掉“隐藏已知文件类型的扩展名”前的对勾，然后点击“确定”。



    进入C:\windows\system32目录下（Windows2000系统为C:\WINNT目录），若发现有名为“command”、“dxdiaq.com”、“finder.com”、“MSCONFIG.COM”、“regedit.com”以及“rundll32.com”等文件生成，则说明是中了“密西木马（Trojan.PSW.Misc）”或其变种病毒。



第二招

    点击“开始”按钮，选择“运行”，输入“regedit”并确定，启动注册表编辑器。打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”项，在右边的窗口中查找AppInit_DLLs。若其值为“KB（中间六位数字）M.LOG”，如“KB896588M.LOG”、“KB235780M.LOG”、“KB75976M.LOG”等，则说明是中了新的“传奇终结者（Trojan.PSW.LMir）”及其变种病毒。



第三招

同时按下键盘CTRL+ALT+DEL键，或右键点击任务栏，选择“任务管理器”。单击“进程”标签。如果找到名为“SVOHOST.EXE”的进程，则说明已感染了“QQ通行证（Trojan.PSW.QQPass）”病毒或其变种。



    若发现感染病毒可登陆瑞星网站下载免费的专杀工具进行查杀。用户也可以登录http://help.rising.com.cn，通过“在线专家门诊”寻求远程救助，或拨打反病毒急救电话：010-82678800寻求帮助。

瑞星发布Zotob病毒疫情报告：已击溃数十企业网络
[快讯]8月16日，瑞星发布紧急疫情报告，一个利用微软最新漏洞传播的蠕虫病毒（Worm.Zotob）开始在网上大肆传播，有可能在最近几天给整个网络带来较大威胁。根据瑞星客户服务中心的统计数据，截止到16日下午2点，共接到数十个企业网络被感染的报告，其中部分网络已经瘫痪，另外，还有数百名个人用户被感染。

    Worm.Zotob病毒及其变种（Worm. Zotob.b）是昨天被瑞星截获的，该病毒会在被感染的电脑上开设后门，黑客可以通过这些后门对其进行远程控制。另外，部分被感染电脑将出现反复重启的现象。根据瑞星提供的资料，目前已经确认被感染的电脑和企业网络，使用的全部是Win2000操作系统。

    根据瑞星技术部门的分析，Worm.Zotob 利用了微软在8月9日公布的MS05-039漏洞传播，该漏洞存在于Windows系统的即插即用服务中，所以用户一旦受到病毒攻击，就有可能造成系统重启。

    从微软发布漏洞公告到该蠕虫病毒出现只有短短5天，这意味着，病毒作者们利用Windows系统漏洞编写病毒的能力越来越强。用户电脑中毒后的现象跟“冲击波”、“震荡波”造成的现象类似，都会造成中毒系统频繁重启。瑞星安全专家表示，在接下来的数天里，病毒很可能出现危害更强，传播更快的变种。

    根据目前的情况判断，该病毒及其变种的疫情有可能在未来几天继续扩大。特别是对于大量使用Win2000操作系统的企业网络来说，如果没有有效使用全网漏洞管理软件和网关防毒设备，就非常容易出现大面积感染，甚至造成整个企业网络瘫痪。

    针对该病毒的防治，瑞星反病毒专家刘刚介绍，第一，用户应该及时打好MS05-039补丁，尤其是Win2000用户更应该及时弥补系统漏洞；第二，在个人防火墙上添加新规则，阻止TCP 端口 139 和 445；第三，上网的时候应该打开杀毒软件的即时监控功能，瑞星杀毒软件17.40.12版本可以彻底清除这两个病毒，请用户注意及时升级。

    小贴士：

    即插即用服务（Plug and Play）：其主要功能是在用户安装新硬件时Windows能够检测到这些设备、查询并安装它的驱动程序。

网友杀毒经验共享:杀绝灰鸽子（Trojan.Huigezi）
注意：以下清除顺序不可以随意调整。

1.删除灰鸽子服务端程序

由于在Windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入纯DOS状态删除，删除命令如下：
cd c:windowssystem
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe

还要注意，如果灰鸽子服务端设置了exe 文件关联的话，将会导致注册表编辑器无法运行，所以在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命令如下：
ren c:windows egedit.exe regedit.com

2.删除注册表中启动键
由于我们改了注册表编辑器名称，所以要打开注册表编辑器应为：打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后，依次打开“HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrent VersionRun"，在右边的窗口中删除名称为”Loadwindows"的键值就可以了。

清除文件关联

灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在。

1.解除exe关联：
启动注册表编辑器，然后找到HKEY_CLASSES_ROOTExefileshellOpenCpmmand主键，查看起默认的键值是不是系统默认的“%1%*”，如果被修改，则改成默认值.

2.解除txt关联：
打开注册表的HKEY_CLASSES_ROOT xtfileshellopencommand主键，其默认值的正常参数应该为“C：windows otepad.exe%1",如果不是，请修改为正确数据。

3.解除ini关联：
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOTInffileshellOpenCpmmand主键下，其默值数据也是“C：windows otepad.exe%1”，如果被修改的话，也要改回来。

4解除inf关联：
打开注册表的HKEY_CLASSES_ROOTInffileshellOpenCpmmand主键，和ini,txt文件关联一样，其默认值也是“C：windows otepad.exe%1”，如果被修改，也要立刻改回正确的数据。

至此，灰鸽子已经被你扫地出门了，你不再担心成为别人"盘中餐”了。

灰鸽子病毒手工清除方法
灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

    手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

    灰鸽子的运行原理

    灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

    G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

    Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

    灰鸽子的手工检测

    由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

    但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

    由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

    1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。





    2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。 




3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。




4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。
 



    经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。另外，如果你发现了瑞星杀毒软件查不到的灰鸽子变种，也欢迎登陆瑞星新病毒上报网站（http://up.rising.com.cn）上传样本。

    灰鸽子的手工清除

    经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

    注意：为防止误操作，清除前一定要做好备份。

    一、清除灰鸽子的服务

    2000／XP系统：

    1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

    2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。




    3、删除整个Game_Server项。

    98／me系统：

    在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。




    二、删除灰鸽子程序文件

    删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

    小结

    本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。

    同时随着瑞星杀毒软件2005版产品发布，杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力，灰鸽子病毒可以被安全有效地自动清除，需要用户手动删除它的机会也将越来越少。

恶作剧邮件诱人上钩,不是病毒装病毒！
反病毒公司趋势科技和McAfee昨日宣布，一种恶作剧电子邮件近日在网上迅速传播，它向用户谎称其电脑中藏有名为“sulfnbk.exe”病毒，并一步步诱使用户将该文件删除，最终导致系统出现问题。

　　这种恶作剧邮件煞有介事地说，用户电脑中隐藏的“sulfnbk.exe”病毒将在6月1日发作，届时将删除硬盘中的所有文件和文件夹；邮件还谎称，该“病毒”已通过电子邮件潜入C盘的Windows文件夹下，并逐步“指导”用户搜索硬盘、找出并删除该“病毒”。

　　反病毒专家指出，“sulfnbk.exe”根本不是病毒，而是Windows 98和Windows Me的一个系统文件，其作用是恢复长文件名。幸而这一文件不是很重要，即使被删除，也可从Windows安装盘中提取出来。

　　据趋势科技调查，该恶作剧邮件在本月初开始传播时是用葡萄牙语撰写的，两周后被好事者翻译成英语。几天前，有人还嫌它的影响力不够大，又添油加醋地描述了“病毒”的破坏力并指明发作日期。该公司说，确实有不少用户受到这一邮件的蒙骗。

　　专家指出，后缀名为exe的可执行文件确实易被病毒感染，但最好的判断方法是用杀毒软件查杀，而不是简单地删除了事。

紧急警报:小邮差惊现第18个变种 破坏力居家族之首
2月3日，瑞星全球反病毒监测网在国内率先截获恶性蠕虫病毒“小邮差”的最新变种：“小邮差变种R(Worm.Mimail.R)”，并决定于当日进行紧急升级。小邮差病毒在春节期间的异常活跃，先后出现过3个不同的变种，本次发现的病毒是“小邮差”家族的第18个变种，也是迄今为止最厉害的一个变种。该病毒除了会通过伪装信用卡信息填写栏窃取用户信用卡资料、向外发送带毒邮件进行网络传播之外，该病毒还会在被感染电脑上建立两个安全后门、盗取用户的安全信息，给用户电脑带来持续的破坏。

    病毒感染电脑后会建立一个端口为3000的远程shell后门和一个端口为6667的后门，通过这两个后门，病毒就可以和外界沟通，执行各种黑客程序来控制用户的电脑。该病毒还会搜索用户的Cookies信息，寻找“e-gold.com”的字符串，如果找不到，病毒就会扫描电脑中的服务端口，将一些安全服务信息保存在c:serv.txt文件中，并在用户上网时将该文件发送到指定的邮箱，据瑞星反病毒工程师分析，这样做的目的是使病毒作者能够了解被感染电脑的安全状况，对用户电脑进行后续的控制与破坏。

    此外，病毒还会提取用户的email地址记录，向外发送大量的带毒邮件传播网络，然后释放文件：c:wind.gif、c:logobig.gif、c:logo.jpg、c:mshome.hta，并执行其中的脚本文件，出现病毒伪装的信用卡输入框，由于病毒自带了图片，因此界面更好看，更具迷惑性，信用卡用户特别要提高警惕，注意分辨。

    瑞星反病毒专家提醒用户：刚经过春节长假的人们，安全防范意识相对会较低，更易被病毒感染。因此广大的电脑用户要注意病毒的防范，发现电脑异常应及时采取措施，及时升级杀毒软件，并打开实时监控系统来保障电脑安全。

    瑞星公司于今日（2月3日）对该病毒进行升级，对手中没有杀毒软件的用户，可以登陆：http://online.rising.com.cn使用免费在线查毒产品或登陆使用该病毒的免费专杀工具进行清毒。瑞星杀毒软件的用户只要将手中的杀毒软件升级到16.12.01即可完全清除该病毒，用户还可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！