近期，又出现了“爱之门”病毒的新变种，病毒运行后常驻内存，并在windows文件夹、系统文件夹和C盘根目录下生成多个自身拷贝。同时对注册表进行多处改动，修改.txt（文本文件）的关联，使得用户在运行.txt的时候，实际上是在运行病毒。病毒可通过电子邮件进行传播，有可能以回复正常邮件的形式到达，病毒还有可能将发信人的地址伪装成hotmail、MSN、YAHOO、AOL等大公司的邮件地址。另外病毒可通过网络共享进行传播。

另外，“贝革热”病毒在沉寂数日后，也出现了新的变种，提醒用户对电子邮件的处理一定要谨慎，不确定的附件应先对其进行检测，确定无毒后方可运行，同时要及时的升级杀毒软件，并启动“实时监控”和“邮件监控”功能。

病毒名称："爱之门"病毒变种（Worm_Lovgate.AD）
病毒种类：蠕虫
感染系统：Windows 95/98/Me/NT/2000/XP
病毒长度：152,064字节
病毒特性：

1、生成病毒文件

病毒会将大量可执行文件替换成病毒副本文件，并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。
在%Windows%文件夹下生成：SVCHOST.EXE和SYSTRA.EXE。
在%system%文件夹下生成：HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。
在C盘根目录下生成：AUTORUN.INF和COMMAND.EXE。

2、修改注册表

病毒在注册表中添加以下项目，使得自身能够作为服务运行：
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices下添加SystemTra = "C:\Windows\SysTra.EXE"
COM++ System = "svchost.exe"

病毒在注册表中添加以下项目，使得自身能够随系统启动而自动运行，
在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下添加run = "RAVMOND.exe"
WinHelp = "C:\Windows\System32\TkBellExe.exe"
Hardware Profile = "C:\Windows\System32\hxdef.exe"
VFW Encoder/Decoder Settings = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
Microsoft NetMeeting Associates, Inc. = "NetMeeting.exe
Program In Windows = "C:\Windows\System32\IEXPLORE.EXE"
Shell Extension = "C:\Windows\System32\spollsv.exe"
Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

病毒修改以下注册表项目，这样一来，用户在运行.txt文本文件的时候，实际上就是在运行病毒拷贝：

HKEY_CLASSES_ROOT\txtfile\shell\open\command
default = "Update_OB.exe %1"（原始数值为%SystemRoot%\system32\NOTEPAD.EXE %1）

HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
default = "Update_OB.exe %1"（原始数值为%SystemRoot%\system32\NOTEPAD.EXE %1）

3、修改文件

病毒修改文件AUTORUN.INF
[AUTORUN]Open="c:\COMMAND.EXE" /StartExplorer

4、通过电子邮件进行传播

（1）病毒搜索系统邮箱，回复找到的电子邮件，并将病毒作为附件进行传播。
标题：Re: <邮件原始主题>
附件：存在多种形式，扩展名为.exe、.pif、.scrsong.MP3.pif

（2）病毒从下列扩展名的文件中搜索邮件地址：ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB，并向这些地址发送带毒的电子邮件。

病毒邮件特征如下：

发件人：
%病毒体内选取的特定字符%.aol.com
%病毒体内选取的特定字符%.hotmail.com
%病毒体内选取的特定字符%.msn.com
%病毒体内选取的特定字符%.yahoo.com

标题：<为下列之一>
hi
hello
Mail Delivery System
Mail Transaction Failed

内容：<可变>

附件：

文件名为body、data、doc、document、file、message、readme、test、text或zge，扩展名为BAT、EXE、PIF、SCR或ZIP。
病毒会避免向含有特定字符串的邮件地址发送带毒的电子邮件，这些字符串多与反病毒以及计算机安全相关。

5、通过网络传播

病毒会在Windows文件夹下创建一个名为“Media”的共享文件夹，并在其中生成自身的拷贝。病毒还会扫描本地网络的计算机，尝试通过密码探测进入 “Admin$”共享进行传播，一旦登录成功，病毒会在远程计算机的“Admin$\System32”文件夹中生成自身拷贝，名称为“NETMANAGER.EXE”。

本周发作：

病毒名称："自毁者"（W97M_Autodest）
病毒类型：宏病毒
发作日期：7月13日
危害程度：病毒感染Word的通用模板文挡normal.dot，7月13日会显示一个倒计时的状态条，并在此之后对C盘进行格式化。
病毒名称："小花帽"（Pe_Mincer.A）
病毒类型：文件型病毒
发作日期：7月15日
危害程度：病毒感染可执行文件（*.exe）,在7月15日，病毒运行后会弹出写有一段中文的对话框，象某人祝贺生日和表达爱慕之情，并会大量删除系统中的文件，导致系统无法正常运行。

专家提醒：

很多病毒运行后都会对文件的关联进行修改，如果修改了可执行文件的关联，即.exe后缀的文件的关联，那么在用户运行这些文件的时候实际上就运行了病毒。那么，在对注册表进行恢复的时候就会出现这样的问题，因为注册表文件regedit.exe同样也是.exe后缀的文件，在系统受到病毒感染后，注册表文件也受到感染，无法运行。一般我们可以通过以下操作打开注册表，并进行相关的恢复。

1、点击"开始-〉运行"

2、输入命令"command /c copy %Windows%\regedit.exe regedit.com | regedit.com" （其中%Windows%指的是系统安装目录，默认是"C:\Windows"或"C:\Winnt"）

3、打开注册表，并恢复相关的内容，并关闭注册表

4、点击"开始-〉运行"，输入命令"command /c del %Windows%\regedit.com"

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 转 8017
传　　真：022-66211487
电子邮件：sos@antivirus-China.org.cn
security@tj.cnuninet.net

**我就是爱笑** · 2004-7-18 19:24

哇哈哈，你中彩了~！你获得了MYTLS为你赠送的7积分
反正4个硬盘里莫名其妙的出现了一个名为"________"的文件,是个打不开的文件
我想点一下他的属性,错点了Program Files的属性,看到他的大小不停的在改变,后来一看,这个文件夹的大小是61MB可是占用空间是180MB不知道是怎么回事!

**我就是爱笑** · 2004-7-18 19:27

我的电脑为什么关一个文件夹或网页会很慢啊?麻烦解释一下!

比电子小 · 2004-7-18 20:03

引用：Originally posted by 我就是爱笑 at 2004-7-18 19:27:
我的电脑为什么关一个文件夹或网页会很慢啊?麻烦解释一下!

1、该文件夹或网页内容庞大，系统需要关闭相关的内存占用文件，耗时甚巨。

2、系统进程过多，内存占用率较大，关闭文件夹或网页时需用时间。

3、中病毒了，例如震荡波的特征之一就是系统反应速度明显变慢。

解决方法：

1、将文件夹内容分类整理

2、关闭多余或不明的进程

3、先升级杀毒软件，在安全模式下杀毒，然后打上WINDOWS相关补丁，再杀

一次毒。

**我就是爱笑** · 2004-7-20 14:13

难道没人回答我的第一个问题?

**骑扫帚的胖女巫** · 2004-7-21 20:18

哇哈哈，你中彩了~！你获得了MYTLS为你赠送的5积分
不知道么再问问人吧

登录
用户名：
密码：	忘记密码？
	记住登录