"妖怪"病毒

病毒名称：I-Worm.Tanatos.50688

病毒类型：蠕虫病毒

病毒长度：50688字节

危害级别：中

传播速度：高技术特征：这是一个通过感染电子邮件传播的蠕虫病毒。该病毒用VC++写成，运行后会开启一个后门程序，使用户的计算机可被远程监控。它具有如下特征： （1）复制自己到Windows系统目录并生成随机的文件名，然后在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce里添加键值，使自己可以在下次开机后自动运行。

（2）释放一个DLL文件到Windows系统目录并生成随机的文件名，用以监测键盘输入。

（3）开启一个后门程序，打开36794端口监听被感染机器，可远程执行诸如发送接收文件，发送用户信息，执行指定文件，关闭程序等操作。

（4）该蠕虫会开启用户机器上的HTTP服务，使得用户机器可被远程操作。

（5）该蠕虫会遍历局域网并搜索其中是否包含可写的系统启动目录，如果有就复制自己到该目录。

（6）在没有打补丁的机器上，该蠕虫会利用IFrame漏洞感染传播。

（7）搜索后缀名为*.ODS， *.MMF， *.NCH， *.MBX， *.EML， *.TBB， *.DBX的文件中的Email地址，通过系统默认的SMTP服务器发送带有该蠕虫的邮件，并随机选择用户机器中的文件做为邮件内容，随机生成附件名。

利用漏洞

此病毒利用的是IE、Outlook及Outlook Express存在的“错误MIME头部”漏洞，使得预览邮件时就会自动运行附件中的病毒。早在18个月前微软已经发布了补丁程序，但是仍有众多Windows用户不予理睬，导致该病毒的广泛传播。在此提醒用户尽快下载补丁：IE 6.0用户：下载Internet Explorer 6.0 SP1

IE 5.5用户：下载Internet Explorer 5.5 SP1

IE 5.0用户：下载Internet Explorer 5.01 SP1

有关漏洞详细资料，请浏览：

http://www.microsoft.com/technet/security/bulletin/ms01-020.asp

或者下载“妖怪病毒”专杀工具。