6月2日，瑞星全球反病毒监测网截获了大无极系列病毒的一个新变种：Worm.SoBig.C，中文名称为：大无极变种C。该病毒与上一版本的大无极变种（Worm.Sobig.B）病毒相比，除了对其体内的字符串进行了加密处理外，其它的特性没有本质的变化，但病毒的一个小“动作”引起了瑞星反病毒工程师的重视。

    瑞星的反病毒工程师在分析病毒的过程中发现，该病毒体内有一段时间判断代码。这在近期发现的病毒中是极其少见的，更为奇怪的是，这段时间判断代码不是病毒发作的条件，而且病毒对自身传播的限制条件。

    这段代码的意思是说，当系统时间大于2003年6月8号时，病毒就自杀，不再进行传播。探究病毒“自残”的原因，瑞星资深反病毒专家分析说：“从病毒编写逻辑上讲，病毒作者肯定是希望他编写的病毒传播的越广越好，而这个病毒的一反常态，显示出了一个危险的信号，就是该病毒只是一个测试版本，不久的将来，病毒编写者还会推出更厉害的新版本”。

    我们从去年泛滥的“中国黑客”病毒身上，就已经看到了病毒编写工程化的苗头：“代码规范，留有编程接口”。而大无极变种C(Worm.SoBig.C)病毒的出现，则标志着病毒编写已经进入到了“团体开发”的阶段，这种病毒团体定期升级、更新病毒，的现象，说明了一个新的病毒时代即将到来，而反病毒厂商的反病毒之路则更加艰辛。

    用户目前只要将手中的瑞星杀毒软件升级到15.38，就可以彻底清除该病毒，而对于可能出现病毒新版本的情况，瑞星反病毒专家建议： 将瑞星反病毒软件的实时监控程序打开，并打开查杀未知病毒的开关，这样能有效地防止大无极病毒的新变种。

    经过分析，“大无极变种C”的特征如下： 
    一 拷贝自身

    该病毒运行后，会将自己复制到Window目录下，命名为:mscvb32.exe，并修改注册表的自启动项进行自启动。

    二 加密自身数据：

    该病毒对其体内的字符串进行了加密处理，增加了病毒分析的难度。

    三 感染局域网。

    病毒会搜索本地局域网资源，并试图将病毒文件复制到局域网计算机中的：c$,d$,e$共享下的Windows\All Users\Start Menu\Programs\StartUp及Documents and Settings\All Users\Start Menu\Programs\Startup目录，增大病毒启动机会。

    四 邮件传播。

    病毒会搜索磁盘中的*.web,*.txt,*.dbx*.htm,*.html及*.eml文件，并从中提取出mail地址进行邮件传播，邮件的标题可能为：

Re: Submited (004756-3463)
Re: Your application
Re: Movie
Re: 45443-343556
Re: Application
…

病毒邮件的附件名可能为：

screensaver.scr
submited.pif
documents.pif
movie.pif
45443.pif
application.pif 
    没有安装杀毒软件的用户要注意这此标题与附件的邮件。

    鉴于该病毒的特性，瑞星公司建议企事业单位使用网络版反病毒软件，进行日常的网络安全维护，并打开监控、及时升级，随时防止该病毒推出新版本。

    如遇到异常情况，请用户赶紧升级手中的瑞星杀毒软件2003版或使用瑞星在线杀毒：http://online.rising.com.cn/在第一时间内清除该病毒，如果用户不方便出门，还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，瑞星反病毒专家将为您提供全方位的技术支持与服务！