注意I-Worm.Magistr病毒的发展动态

    国家计算机病毒应急处理中心通过监测2001年3月发现一种可通过互联网电子邮件进行传播，又可在本地机或局域网中快速感染PE格式的I-Worm.Magistr恶性病毒。在4月13日接到北京江民公司报告在国内已发现该病毒的活动。
    该病毒可通过互联网上电子邮件或在局域网内进行传播。 可通过Outlook、Netscape Messenger等其他电子邮件软件和新闻组在内的软件读取其中地址簿中的地址发送带毒电子邮件进行传播。
    要注意的是，电子邮件的标题和正文都不是固定的，而是病毒在当前机上随机查找.DOC和.TXT文件中的一段文字作为邮件的标题和正文或不带正文。其附件也是不固定的，病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去，这很可能将重要的文件发给别人。
    该病毒采用了多变形引擎和两组加密模块，病毒感染文件的中部和尾部，将中部的原文件部分代码加密后潜藏在病毒体内，病毒长为24000-30000字节。 病毒使用了非常复杂的感染机制，感染.EXE、.DLL、.OCX、.SCR、.CPL等文件，病毒每传染一个目标，就变化一次，具有无穷次变化，其目的是使反病毒软件难以发现和清除。带毒文件和邮件被执行后，病毒驻留内存，伺机传染文件和网上传播。
    病毒还修改注册表中HKLM\Software\Microsoft\Windows\CurrentVersion\Run（键值和键值名视被修改的文件名而定）。
    病毒还修改Win.ini中"run="一项（启动程序名视被修改的文件名而定）。
    病毒对以上的修改，使WINDOWS每次启动的时候都会激活病毒，并感染其它文件。
    如果机器联着局域网，病毒就会搜索局域网上的共享驱动器，如果是开放和授权可改写的驱动器，病毒便查找WINDOWS/NT, WIN9X目录，并感染这些目录中的文件，同时会像在本地机上修改注册表和Win.ini中的"run="。
    如果在WIN9X环境下，病毒乱写BIOS和清除硬盘上的数据，并显示以下信息：
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
    该病毒有和CIH、KRIZ-4250等病毒的破坏作用相类似，是危害性非常大的一种病毒。　
该病毒的清除时须注意以下问题：
　1）删除注册表中的键值：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run（键值和键值名视被修改的文件名而定）。
  2）删除Win.ini中"run="项后的文件名,（启动程序名视被修改的文件名而定）。
　3）重新启动您的计算机；将OUTLOOK EXPRESS电子邮件中的相应的含有该病毒的邮件删除：
  4）个别被病毒改坏的文件，请用别的机器相应的无毒文件将带毒文件覆盖掉。
    请国内用户密切注意该病毒的活动，如发现或遭受该病毒的侵入，可与国家计算机病毒应急处理中心联系。

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 
传　　真：022-66211487 
电子邮件：security@tj.cnuninet.net