急!急!急!

病毒發病特征：

1.只在每月28號發病。

2.無法進行正常的復制、剪切、粘貼等與剪貼板有關的任何操作！

3.如果是粘貼文本的話，會在粘貼處出現“hello”字樣，而不是原文！

[破壞方法]：這個病毒采用文件夾圖標，具有很大迷惑性。該病毒運行後，會將自己大量復制到其他目錄中。

壹、病毒首次運行時將顯示"This File Has Been Damage!"；

二、將自己復制到windows目錄下並改名為Mstray.exe；

三、修改註冊表：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

以達到其自啟動的目的；

四、枚舉磁盤目錄，在每個根目錄下釋放下列文件：

winfile.exe，病毒主體程序

comment.htt，利用IE漏洞調用同壹個目錄下的"winfile.exe"，屬性為隱藏。

desktop.ini系統為隱藏。采用web方式瀏覽文件夾時，系統會調用該文件，該文件調用comment.htt，從而激活病毒。

五、病毒修改註冊表，隱藏系統文件、隱藏受系統保護的文件、隱藏已知的擴展名稱。

這樣，用戶看不到comment.htt和Desktop.ini，winfile.exe被隱藏後綴明，又是文件夾圖標，用戶極容易認為是文件夾而點擊。

同時病毒在當前路徑下生成的自身拷貝，名稱采用上級目錄，或者是當前窗口的標題,增加隱蔽性。

六、病毒調用Outlook發送攜帶病毒的信件。

手工清除

找到Mstray.exe（註意這個是系統和隱藏的文件,在系統文件夾下找到它）,刪除掉.並修改註冊表,去掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 下KI.exe和Mstray.exe啟動項，接著:利用的Windows的搜索功能,搜索所有的:

Winfile.exe,comment.htt,desktop.ini（;去掉文件系統保護，隱藏屬性)

有些desktop.ini是windows原有的文件。

最後:查找硬盤內所以的*.exe]文件, 妳會發現好多的文件夾圖標形式的.exe文件,刪除掉所有這些文件

worm.sober 病毒名稱: Worm.Sober

中文名稱: 清醒

威脅級別: 3C

病毒類型: Worm

受影響系統: Win9x/NT/2K/XP

病毒別名:

I-Worm.Sober[AVP]

W32.Sober@mm[Symantec]

該蠕蟲病毒會偽裝成含反病毒軟件的郵件，引誘戶打開其附件。病毒激活後會在宿主機器上發送大量帶毒郵件，大量浪費系統資源和網絡資源。Sober病毒已在歐洲，尤其是英國和德國造成了巨大的影響。

技術特征：

1、自我復到系統目錄（%system%)，病毒復本的文件名為：

similare.exe

systemchk.exe

winrea.exe

2、添加註冊表啟動項，以隨機啟動

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"syspath" = "%System%\drv.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"syspath" = "%System%\drv.exe"

3、通過郵件傳播，郵件主題不定，正文為英文和德文文本，附件後綴可能為bat、com、exe、pif、scr。

a、通常郵件主題和內容為“該郵件的附件為"Sobig-Worm"(“巨無霸”Worm.Sobig）病毒的清除工具”，以引誘用戶打開其附件；

例如：

Subject: New Sobig-Worm variation (please read)

Body text: New Sobig variation in the net.

You must change any settings before the worm control your computer!

But, read the official statement from Norton Anti Virus!

File attachment: NAV.pif

b、染毒的郵件通常帶有如下簽名：

Automatic Mail notification: Robot-System__#

c、病毒搜索後綴為“htt、rtf、doc、xls、ini、mdb、txt、htm、html、wab、pst、fdb、cfg、ldb、eml、abc、ldif、nab、adp、mdw、mda、mde、ade、sln、dsw、dsp、vap、php、asp、shtml、shtm”文件中的郵件地址，並發送帶毒文件給他們。

解決方案:

如果您的系統突然速度下降，或是在打開某壹程序時，彈出下圖中的對話框，則您的系統有可能中了“清醒”蠕蟲病毒了，請采用以下方法查殺：

1、請升級您的金山毒霸到10月30日的版本，既可完全查殺該病毒；

2、請不要相信以任何名義來發送反病毒工具的郵件，此次特別是針對“巨無霸”(Worm.Sobig）病毒的工具；

3、手工清除方法：

對於WIN9X用戶可以在純DOS模式下刪除以下病毒文件：

%system%\similare.exe

%system%\systemchk.exe

%system%\winrea.exe

對於Win2000/WinXP用戶，請使用進程管理器結束名為：“similare.exe、systemchk.exe、winrea.exe”的進程，然後刪除以下文件：

%system%\similare.exe

%system%\systemchk.exe

%system%\winrea.exe

刪除病毒在註冊表中添加的啟動項目：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"syspath" = "%System%\drv.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"syspath" = "%System%\drv.exe"