警惕程度：★★★☆
发作时间：随机
病毒类型：蠕虫病毒
传播方式：邮件
感染对象：网络
依赖系统：WIN9X//NT/2000/XP

病毒介绍：

该病毒群于7月2日被瑞星全球反病毒监测网截获，该病毒群除了会通过邮件疯狂传播之外，还会给打开系统后门，控制用户计算机。值得注意的是，病毒运行后还会自动连接网站并显示十幅图片，该图片全部是玻利维亚领导人埃瓦.莫里斯的近照。

病毒运行时会在用户的系统目录中产生十几个不同的病毒体，并修改相关的文件关联，只要用户打开或运行后缀为exe、com、bat、pif、hta的文件，病毒就能自动运行，然后控制系统，打开后门，等待远程的连接。病毒还会利用用户的邮件系统，向外发送标题为：“El adelanto de matrix ta gueno?”，附件名：hotmailpass.exe的病毒邮件。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 病毒会修改下列扩展名的文件关联：exe、com、bat、pif、hta和配置文件win.ini、system.ini的启动内容，用户可以手工恢复这些文件关联，或使用一些注册表修复工具修复注册表，对于配置文件，用户可以用编辑软件如记事本编辑，将病毒改过的内容改回。

2. 病毒会通过修改注册表来自启动，修改的相关键值为：
 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system
        %WinDir%\system.exe
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4\System
        %WinDir%\system.exe
   HKCU\Software\Microsoft\Windows\CurrentVersion\RunSevices\System
        %WinDir%\system.exe
   HKCU\Software\Microsoft\Windows\CurrentVersion\RunSevicesOnce\System
        %WinDir%\temp.exe
   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System
        %WinDir%\system.exe
   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4\System
        %WinDir%\temp.exe
   HKLM\Software\Microsoft\Windows\CurrentVersion\RunSevices\System
        %WinDir%\commands.com
用户可以直接删除病毒产生的这些键值。

注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。

3. 病毒运行后，会复制自己到下列目录，列表如下：
 %WINDIR%\COMMAND.EXE
 %WINDIR%\SYSTEM.EXE
 %WINDIR%\HOT GIRL.SCR
 %WINDIR%\ALL USERS.EXE
 %WINDIR%\INF.EXE
 %WINDIR%\TEMP.EXE
 %WINDIR%\INTERNET DOWNLOAD.EXE
 %WINDIR%\SHELL.EXE
 %WINDIR%\SYSTEM32.EXE
 %WINDIR%\SYSTEM64.PIF
 %WINDIR%\INTERNET FILE.EXE
 %WINDIR%\PART HARD DISK.EXE
 %WINDIR%\SYSTEM32\COMMAND.COM
 %WINDIR%\SYSTEM32\NET.COM
 %WINDIR%\SYSTEM32\WWW.MICROSOFT.COM
 %WINDIR%\SYSTEM32\INF.EXE
   C:\RECYCLED\EVO MORALES.SCR。
 用户可以搜索系统目录，发现这些文件后直接删除。

4.　病毒会通过发送邮件的方式进行传播。发送：
  标题是：El adelanto de matrix ta gueno?
    内容为：
        Pablo_Hack
        Oye te U paso el programa para entrar a cuentas del messenger,
        y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie,
         ya?Respondeme que tal te parecio. Chau?
附件为：hotmailpass.exe的病毒邮件，用户如果发现这样的邮件，则可以直接将该邮件删除。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了埃瓦(Worm.Colevo.a/b/c/d/e)病毒。为避免用户遭受损失，瑞星公司已于截获该病毒当天就进行了升级，瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周三次同步升级，15.42.10版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。

如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-82678800或使用瑞星在线杀毒：http://online.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务！

瑞星反病毒专家的安全建议：

1. 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3. 经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全。