光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，

以下是几个重要病毒的简介：

    一、W32病毒：W32.Memesa 危害级别：★★★★☆

    根据光华反病毒研究中心专家介绍，这是一个W32病毒，长度 38,400 字节，感染 Windows 2000,

Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。

它将自身作为附件，通过邮件传播，改变桌面背景，用IE打开本地页面。当收到、打开感染此病毒的邮件附件时，

有以下现象:

    A 创建以下文件
Windows目录\\svchost.exe
Windows目录\\dllhost.exe
Windows目录\\windos.exe
[盘符]\\agnes vs f4.exe
[盘符]\\foto panas agnes.exe
[盘符]\\foto mesra f4 vs agnes monica.exe
Windows目录\\meme.bmp
Windows目录\\memesayang.htm
Windows目录\\happyday.htm
Windows目录\\putuscinta.htm
B 增加注册表键值 \"sysshell\" = \"%Windir%\\svchost.exe\"和

\"dllhost\" = \"%Windir%\\dllhost.exe\"
到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
使得病毒每次开机后自动执行
C 修改注册

 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System 的键值 \"DisableRegistryTools\" = \"1\"和 \"DisableTaskMgr\" = \"1\"
禁用注册表编辑器和任务管理器
D 修改注册表 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

\\Folder\\Hidden\\SHOWALL 的键值 \"CheckedValue\" = \"1\"和 \"DefaultValue\" = \"1\"
E 修改注册表 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

\\Folder\\Hidden\\NOHIDDEN 的键值 \"CheckedValue\" = \"2\"和 \"DefaultValueSUCCESS\" = \"2\"
F 修改注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Advanced 的键值 \"Hidden\" = \"1\" 和 \"HideFileExt\" = \"1\"
G 修改注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Policies\\Explorer 的键值 \"NoFolderOptions\" = \"1\"
H 搜索所有以下扩展名的文件 .xls
.pdf
.doc
.jpg
I 复制自身为搜索到的同名exe扩展名的文件，如搜索到 c:\\1.xls ，复制病毒为 c:\\1.exe
J 改变桌面背景为图

K 发送ICMP应答到地址 http://www.telk[已删除]
L 将自身作为附件，通过以下邮件传播
主体（以下之一）:
Sstt..! foto2 panas agnes dengan f4!
FWD: foto mesra agnes vs f4!

内容（以下之一）:
Apakah Anda sedang jatuh cinta? Apakah cinta Anda cinta sejati? Check this out!
Ssstt, kumpulan foto mesra f4 dengan agnes monica!

附件名（以下之一）:
foto mesra f4 vs agnes monica.zip
agnes vs f4.zip
foto panas agnes.zip

M 用IE打开本地页面，内容为：
KU TAK TAHU APA SALAHKU YANG SEBENARNYA. KU TELAH MELAKUKAN MEMPERSIAPKAN SEMUANYA. TETAPI APA YAN [REMOVED] RENA TIDAK ADA GUNANYA BERGAUL DENGAN ORANG YANG HANYA BISA MENYEDOT ENERGI POSITIFMU KELUAR.

    二 后门病毒 Backdoor.Wualess.B 危害级别：★★★★☆

    根据光华反病毒研究中心专家介绍，这是一个后门病毒，长度 12,168 或 23,040 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个病毒打开后门，等待黑客命令，下载执行远程病毒文件，当含有病毒的文件被打开时，有以下现象:

A 搜索文件wuauclt.dll
B 将搜到的文件更名为wuauclt.dll.bak
C 复制自身到系统目录的wuauclt.dll
D 增加键值\"ServiceDll\" = \"%System%\\wuauclt.dll\" 到 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wuauserv\\Parameters
使得病毒每次开机后自动执行
E 创建系统互斥量 Build20061130 ，使得病毒仅执行一次
F 打开后门，通过TCP端口5202连接到IRC服务器频道 NameLess.3322.org
G 等待黑客下达以下命令
下载执行的文件 收集计算机信息 测试连接速度
在线更新病毒版本
传出计算机中黑客制定的任意文件 结束线程和进程 收集域服务器信息

    北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到12月18日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。