发现卡卡还没人提到这个，转贴一下，希望大家注意

Author: killer (killer<2>xfocus.org)
Date:2006-4-22

危险级别:★★★★

一、病毒描述：

  近日，一种新的P2P蠕虫现身网络，该蠕虫不仅仅依靠P2P网络(Gnutella)传播，而且该蠕虫病毒没有实体文件，感染Windows可执行程序，采用EPO(Entry-Point Obscuring)技术对抗启发式扫描，不修改原文件入口点，病毒自带多态/变形引擎，确保每一次感染文件后病毒体均不相同。

二、病毒行为：

  1、感染后的载体文件运行后，病毒代码将插入除下列列表的所有系统活动进程：
 
    csrss
    dumprep
    drwtsn32
    smss
    spoolsv
    ctfmon
    ...
   
  2、启动可执行文件感染模块进行感染。
 
  3、启动P2P网络感染模块感染。
 
 
  4、删除部分反病毒产品的相关程序和文件：
 
    antivir.dat
    lguard.vps
    ...

  5、不感染大多数的反病毒产品文件、EXE Packer主程序，和包括如下字符串的文件：
 
    anti
    ida
    retina
    virus
    firewall
    debug
    root
    hunter
    hack
    webroot
    iss
    proxy
    disasm
    ...
 
  注：自解压的包裹文件被感染后(包括安装程序)将遭到病毒覆盖。


三、清除办法：

  目前，只有Dr.Web可以对付此病毒，其他大多数杀毒厂商对此病毒尚无有效处理方案，但都已经包含了对该病毒的检测，遗憾的是，由于该病毒的加密变形引擎，使得多数杀软检测到病毒后采用的临时清除方案是删除染毒文件。
 
  这对于重要的文件感染了病毒后将是个灾难，在杀毒厂商没有提供有效处理方案之前，强烈建议用户开启反病毒产品的监控，预防病毒传播到本机。

  对于已经感染的重要程序文件，可以采用手动恢复的办法临时处理：
 
  1、利用PE工具删除病毒增加的区段，同时进行PE校验和修复。
 
  2、利用调试工具载入该文件，定位到调用病毒区段代码，结合上下文代码进行手动代码修复，例：
 
    被病毒破坏的代码：
   
 
    010061DC  . FF75 08      PUSH DWORD PTR SS:[EBP+8]       
    010061DF    E8 2FDD0500  CALL 002.01063F13
    010061E4  . 01EB        ADD EBX,EBP
    010061E6  . 32E8        XOR CH,AL

    修复代码：
 
    010061DC |. FF75 08        PUSH DWORD PTR SS:[EBP+8]               
    010061DF |. FF15 E8130001    CALL DWORD PTR DS:[<&USER32.DefWindowProcW>]  ; \DefWindowProcW
    010061E5 |. EB 32          JMP SHORT 01006219
    010061E7 |> E8 551B0000      CALL 01007D41                  ; Case 401 (WM_USER+1) of switch

来自动物家园http://www.kingzoo.com/bbs/read.php?tid=2714

如果染上是比较麻烦，但是防住就没事了，目前杀软对此的防护似乎还是不好，但GSS就可以防住了

引用:

【轩辕小聪的贴子】不用p2p是否就没事了呢？ ...........................

没仔细看吧？该蠕虫不仅仅依靠P2P网络(Gnutella)传播