一、病毒评估：

警惕程度：★★★☆
发作时间：随机
病毒类型：蠕虫病毒
传播途径：邮件
依赖系统：WIN9X/NT/2000/XP

二、病毒介绍：

11月9日，瑞星全球反病毒监测网接连截获两个利用IE高危漏洞传播的蠕虫病毒，并命名为“SCO炸弹变种AC/AD（Worm.Novarg.ac/ad）”。瑞星反病毒专家蔡骏介绍说，这两个病毒都会大量发送病毒邮件，邮件里带有网站连接，IE存在漏洞的用户点击这些连接后就会中毒。

据介绍，SCO炸弹病毒的这两个变种利用了IE浏览器的最新高危漏洞。该漏洞于10月24日左右被公布，11月3日，瑞星截获了利用该漏洞的第一个网页病毒“侵入者”，当时瑞星公司的病毒专家就担心，将会有利用此漏洞的病毒大规模传播。

侵入用户电脑后，“SCO炸弹变种AC/AD”病毒会搜索电子邮件地址，疯狂向外发送垃圾邮件进行传播。同时，病毒会把中毒电脑做成“僵尸机器”，黑客们可以远程控制该电脑，进行多种危险的操作。瑞星反病毒专家提醒用户，在目前的情况下暂时不要打开电子邮件里的网址连接，以免被病毒感染。

三、病毒的特性、发现与清除：

1．运行后，病毒将自己复制到“system”目录，文件名为：<随机字符>32.exe。

2．在注册HKLM\Software\Microsoft\Windows\CurrentVersion\Run中加入自己的键值：
Reactor3=%system%\<随机字符>32.exe，以达到自启动目的。

3．监听1639端口联接，当有联接时病毒服务线程将向对方返回一个带有IFRAME漏洞的页面，当对方IE存在该漏洞时。将导致病毒被自动下载运行。

4．以特定的昵称登录MIRC服务器，接受黑客的远程控制。

5．搜索磁盘文件，并尝试从以下扩展名的文件中提取email地址，并向其发送一封邮件：wab，pl，adbh，tbbg，dbxn，aspd，phpq，shtl，htmb，txt。

6．病毒邮件内容：Congratulations! PayPal has successfully charged $175 to your credit..card. 
Your order tracking number is A866DEC0, and your item will be shipped..
within three business days。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“SCO炸弹变种AC/AD”病毒，为避免用户遭受损失，瑞星公司已于当日进行了升级。瑞星杀毒软件2004版、瑞星在线杀毒、瑞星杀毒软件2004“下载版”，这三款产品每工作日正常升级，遇到重大病毒会第一时间提供解决方案。如果用户遇到异常情况，还可拨打瑞星反病毒急救电话：010-82678800寻求帮助。

四、瑞星反病毒专家的安全建议：

1.建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2.关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3.经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全。