警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播方式：邮件/局域网
感染对象：局域网

病毒介绍：
病毒运行后会终止没有内存监控功能的某些国内杀毒软件的运行，并将自己复制到系统目录下登记为自启动。将浏览器标题修改为："You must tell me why I only have 40 for the c exam!"，利用自身带的密码字典破译所有局域网计算机的密码，破译后该病毒会释放出一个可感染文件的病毒感染局域网中每一台计算机中的所有可执行文件，病毒破译密码和感染文件的过程中会使局域网瘫痪。企业级用户要特别注意防毒。

病毒的发现与清除：
此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：
1. 病毒运行时会将自身复制到系统目录下，命名为：restudy.exe。
2. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run启动项中添加键值restudy,该键值的内容是病毒的文件路径，这样在下一次启动计算机时，病毒会自动运行。
3. 病毒会遍历局域网，并尝试把自己复制到其它计算机的如下位置： \\admin$\\restudy.exe。
4. 将IE的标题改为："You must tell me why I only have 40 for the c exam!"。
5. 病毒执行后首先终止下列反病毒主程序：kfw.exe、kfwmain.exe、vptray.exe、PFW.exe、PFWmain.exe、kav32.EXE、KAVSvcUI.EXE。

    用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“留级生”（Worm.Restudy.21）病毒。为避免用户遭受损失，瑞星公司已于截获此病毒当晚就进行了紧急升级，瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周同步升级，15.37版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。

    如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-82678800或使用瑞星在线杀毒：http://online.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务！