最新病毒通告[特别注意]

knowy

[最新补充说明]该病毒特征除了在run下增加一个键值以外(已证实，确实并非都会产生这个键)，还有一个显著特征:
该病毒运行后在%Windir%文件夹中释放多个文件，包括一个随机名称的.exe文件（32,768字节）和一个随机名称的.dll文件（48,640字节），还生成文件CFG.DAT。
（其中，%Windir% 通常为C:\\windows或C:\\WINNT）
通过检查以上列出的目录下的文件也可以确认是否中了该病毒。目前瑞星最新版本可以查杀该病毒。其他的杀毒软件还不清楚，请各位已经通过其他杀毒软件检查出该病毒的跟帖，以便大家更好的对付该病毒。

杀毒步骤:
首先升级病毒库
1。重新启动电脑，进入安全模式
2。检查进程里是否有病毒进程名，如果有，终止。(如果不能终止，就跳过这一步)
2。检查注册表相应位置(HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run)是否存在这样的键:
"winupdt"="RUNDLL32.EXE %Windir%\\[随机名称].dll,_mainRD"),如果有，删除该键。
4.重新启动,进入系统后立即启动杀毒软件杀毒。
按以上步骤可以达到较好的清除效果，防止死灰复燃


近期出现了病毒“麻布图”（Worm_Mabutu.A）和Mydoom病毒的变种Worm_Mydoom.M，这两个病毒都是通过电子邮件进行传播，目前国内只有少量用户感染，但仍需引起注意。国家计算机病毒应急处理中心提醒广大用户，留意病毒邮件的特征，尤其是对附件的处理要谨慎，不要轻易打开。

病毒名称：“麻布图”（Worm_Mabutu.A）
其它命名：W32/Mabutu.a@MM （McAfee）
W32.Mota.B@mm（symantec）
WORM_MABUTU.A（trend）
I-Worm.Mabutu.a（Kaspersky）
Worm.Mabutu（瑞星）
Worm.Mabutu.a.32768（金山）
病毒长度：32,768字节
病毒类型：蠕虫
感染系统：Windows 95/98/Me/NT/2000/XP/2003
病毒特性：

病毒以染毒邮件的附件形式到达，附件的名称是可变的，长度约为33k，扩展名为.EXE， .SCR或.ZIP。提醒用户遇到此类邮件不要打开，应立即删除。病毒运行后在系统文件夹下生成多个病毒文件，修改注册表，以达到自启动的目的。

1、生成病毒文件

该病毒运行后在%Windir%文件夹中释放多个文件，包括一个随机名称的.exe文件（32,768字节）和一个随机名称的.dll文件（48,640字节），还生成文件CFG.DAT。
（其中，%Windir% 通常为C:\\windows或C:\\WINNT）

2、修改注册表

病毒修改注册表，以达到随系统启动而自动运行的目的，在
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run下创建：
"winupdt"="RUNDLL32.EXE %Windir%\\[随机名称].dll,_mainRD"

3、通过电子邮件进行传播

病毒使用自身的SMTP引擎进行传播。病毒会从Windows地址簿（WAB）和MSN联络人名单中搜索邮件地址，同时也会在扩展名为.HTM，.HTML，.TXT和 .WAB的文件中搜集邮件地址，并向这些地址发送带毒电子邮件。

病毒发送的邮件格式如下：
主题： （为下列之一）
britney
Hello
I'm in love
I'm nude
Important
jenifer
Wet girls

正文：（为下列之一）
creme_de_gruyere
details
document
Fetishes
gutted
message
Ok cunt
photo

附件的名称是可变的，扩展名为.exe、.scr或.zip

4、其它

病毒会尝试连接预定的mirc服务器特定频道，用以通知远程的恶意用户系统已被该病毒感染。

清除该病毒的建议：

1、终止病毒进程

在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE
在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC
选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的"winupdt"="RUNDLL32.EXE %Windir%\\[随机名称].dll,_mainRD"

3、运行杀毒软件对系统进行全面的病毒查杀



专家提醒：

1、 越来越多的病毒可以通过聊天软件Oicq、QQ或MSN进行传播，所以用户如果在使用这些聊天软件时若收到不明的消息不要轻信，收到不明的链接也不要随便点击。

2、 定期升级杀毒软件和防火墙，并根据自身需求合理配置软件功能，使病毒防护产品发挥最大功效保护系统安全。

3、 使用外来软盘、光盘、移动硬盘等媒介进行数据交换前，先进行病毒扫描，确认其无毒后再进行相关操作。


建议斑竹加快递，很多人目前都受到类似的病毒邮件，也有很多人已经感染。如果已经感染的用户，请尽快升级杀毒软件，彻底杀一遍毒。还没有感染的用户，千万不要因为好奇打开类似的邮件，有的文件名不一定是上诉文件名，比如message.txt，但要注意的是，那个实际上后面还有很长，message.txt .scr.同样会让你感染病毒。而且需要注意的是，即便是好友发过来的邮件带附件的也不要轻易打开。因为这个病毒是通过邮件传播的，如果你受到这样的邮件，说明你的好友的机器已经感染病毒，可能的话通知一下。尽量减小病毒的危害程度。

要确认自己是否感染了该病毒，看注册表里面HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 下有没有"winupdt"="RUNDLL32.EXE %Windir%\\[随机名称].dll,_mainRD"，如果有先清除，然后杀毒。