警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播方式：网络
感染对象：网络

病毒介绍：

该病毒是一个新型的攻击型蠕虫病毒，用VC++高级编程语言编写，并用ASPack压缩，有很强的隐蔽性和兼容性。

 病毒运行后，会通过NetBios协议攻击网络上没有设置密码或者仅有简单密码保护的Windows机器，该病毒会通过枚举人们常用的85种密码来猜测被选中电脑的管理口令，如果猜中便会感染对方，感染后病毒会将被感染的远程系统的系统盘C:,D:,E:,F:,ADMIN$,IPC$等共享删除，导致管理员无法进行正常的远程管理。

 病毒感染系统后，会在远程主机上安装并运行后门程序，使得远程主机被攻击者完全控制；同时远程主机将发送、并接收大量数据包造成局域网严重阻塞拥塞、系统瘫痪，服务器无法接受任何服务。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒，可以按照下面所说的方法手工清除“猜谜者（Worm.Dvldr）”病毒。

1.    病毒会修改系统注册表，在：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中添加如下项保证在系统启动时自动运行：

TaskMan=%WINDOWS%Fontsrundll32.exe；

Explorer=%WINDOWS%Fontsexplorer.exe；

messnger=%SYSTEM%Dvldr32.exe

其中%WINDOWS%是系统的Windows安装目录。

请检查注册表项：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun是否已经被修改，如果不存在上面所列的各项，表示您的机器尚未被感染，如果存在，则证明已经感染了该病毒，将这些键值直接删除，以防病毒开机自启动。由于病毒攻击的原理是通过密码探测来实现的，所以请立刻修改您的机器的密码，不要使用简单密码。

2.      由于病毒还会通过修改启动目录进行自启动，所以请查找：

%WINDOWS%All UsersStart MenuProgramsStartupinst.exe

%WINDOWS%Start MenuProgramsStartupinst.exe

C:Documents and SettingsAll UsersStart MenuProgramsStartupinst.exe文件，找到后，将这些文件删除，然后重新启动计算机。

3. 病毒运行时会生成以下文件：

%SYSTEM%dvldr32.exe

%WINDOWS%Fontsrundll32.exe

%WINDOWS%Fontsexplorer.exe

%WINDOWS%Fontsomnithread_rt.dll

%SYSTEM%omnithread_rt2.dll

%SYSTEM%omniorb251_rt.dll

%WINDOWS%Fontsomnithread_rt.dll

%WINDOWS%FontsVNCHooks.dll

%SYSTEM%cygwin1.dll

重新启动计算机后请查找这些病毒文件，找到后直接删除。 

4.为了能彻底清除该病毒，最好能采用瑞星杀毒软件2003版进行清除, 对于有局域网的企事业单位，最好采用网络版进行全网杀毒。

如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-86243236或登陆瑞星反病毒网http://www.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务！