病毒名称：Worm.Avron.b/c
发作时间：每月7、11、24日
病毒类型：蠕虫病毒
传播方式：网络/邮件
感染对象：网络
文件大小：34,815字节
警惕程度：★★★★

病毒介绍：

    该病毒为12月发作的“阿芙伦”病毒的变种，它如果发现用户的计算机联网，则会自动登陆到一指定网站下载病毒来控制用户计算机并加以破坏，并还会杀掉国外数十家著名反病毒软件，使这些反病毒软件失效。它利用邮件漏洞向外发送大量病毒邮件，同时该病毒还以不占资源的方式在局域网内进行疯狂传播，阻塞网络！该病毒会在每月的7、11、24发作，发作时病毒会屏蔽IE，并在桌面上动态画椭圆，使用户无法使用计算机。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1.病毒在运行时如果发现它能识别的反病毒软件的名字，便将这些软件在内存中清除，使这些软件失效, 如果有些用户的杀毒软件莫名其妙地关闭，则有可能中了该病毒。

2.病毒会修改注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值Avril Lavigne - Muse,该键值的内容是病毒的文件路径，这样在下一次启动计算机时，病毒会自动运行。

3.病毒将自身隐藏在所有硬盘的回收站中，并命名为：<随机字符串>.exe文件。

4.如果用户没有连接Internet，则病毒会从注册表中找到用户的用户名与密码，调用系统服务，偷偷登陆网络。

5.病毒会通过邮件系统向外发送大量病毒邮件，进行邮件传播，标题为下列之一：
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header

病毒邮件的附件为下列文件名之一：
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe   

6.病毒会利用QQ传递文件的功能，寻找QQ窗口，然后把病毒体Resume.exe通过QQ传播出去。

7.病毒会在每月7、11、24日发作，发作时会屏蔽浏览器，并用各种颜色在桌面画嵌套的椭圆，还会在左上角显示一行白底黑字：“AVRIL_LAVIGNE_LET_GO－my muse：Vote for I'am with you”，并连接网站：www.avril-lavigne.com。

    用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“阿芙伦变种”(Worm.Avron.b/c)病毒。用户可以手工删除以上提到的病毒文件和注册表键值，但如果要想完全清除该病毒造成的影响，最好还是选用杀毒软件进行清除。目前用《瑞星杀毒软件2003版》的最新版本可以彻底清除此病毒。

    为避免用户遭受损失，瑞星公司已于截获此病毒的当晚就进行了紧急升级，瑞星杀毒软件15.17.01及以上的版本可以自动截获并清除此病毒，望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底拦截“阿芙伦变种”(Worm.Avron.b/c)病毒。

    如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-86243236或登陆瑞星反病毒网http://www.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务！