近期，国家计算机病毒应急处理中心接到的用户报告中，“高波”病毒及其变种的感染数量出现了明显上升的趋势。

   该病毒及其变种利用微软在去年公布的两个漏洞进行传播，病毒运行后会生成病毒文件，修改注册表，终止一些防病毒软件和防火墙的运行。另外，病毒可通过mIRC和局域网共享进行传播。并具有后门功能。

病毒名称：“高波”(Worm_Agobot)
病毒种类：蠕虫
影响系统：Windows 95\98\2000\NT\Me\XP\Server 2003
病毒特征：

病毒的传播通常会利用微软下述两个漏洞：

DCOM RPC漏洞（MS03-026），有关该漏洞的详细请参见网址http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx。

RPC locator漏洞（MS03-001），有关该漏洞的详细请参见网址http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx。

   该病毒及其变种运行后通常会在%system%目录下生成病毒文件。
（其中，%System%在Windows 95/98/Me 下为C:\Windows\System，
在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）。
并修改注册表使得病毒能随系统启动而自动运行。

   病毒会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run 和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices下创建与生成的病毒文件相关的注册表键值。

   病毒可以通过mIRC进行传播，并可以操纵被感染机器向在同一个IRC服务器上的其他机器发动DDoS攻击。病毒还可以通过局域网共享进行传播，进行弱口令攻击。并在找到的共享区域生成病毒自身的拷贝。
病毒还可以作为后门程序的服务器端，允许远程用户通过客户端软件控制被感染的计算机。

   病毒会终止一些防病毒软件和防火墙的进程，使得计算机失去基本的病毒防护。

处理该病毒及其变种的一些建议：

1、修补相关漏洞，升级杀毒软件对系统进行全面的病毒清除。

2、在病毒清除的过程中，应保证全网内同步进行。

3、由于该病毒有弱密码攻击的功能，所以网络共享应设置密码，并且密码应为8位以上的复杂密码，以切断病毒通过网络共享传播的途径。。

病毒名称：W97M_CONT.A
病毒类型：宏病毒
发作日期：6月17日
危害程度：病毒会修改autoexec.bat，如果在C盘下存在文件minny.log，病毒将删除C:\，D:\，E:\ 、F:\ 盘下的所有子目录。

病毒名称：W97M_ Gurre.A
病毒类型：宏病毒
发作日期：6月20日
危害程度：病毒生成文件c:/w.bat然后运行，这个文件将会对c盘进行格式化


专家提醒：

1、近期邮件病毒仍十分猖獗，所以用户收到有附件的邮件，一定要确认没有问题才能打开。另外，及时升级杀毒软件，并选中“邮件监控”选项。
2、目前，不少病毒可以通过局域网进行，建议在局域网内只将共享资料夹给某些有需要的特定使用者，而不要将整个硬盘共享，并将所有要共享的文件设定成只读模式，同时通过复杂密码才能访问。减少病毒传播的途径。
3、及时更新系统和应用软件。

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 转 8017
传　　真：022-66211487 
电子邮件：sos@antivirus-China.org.cn
         security@tj.cnuninet.net