北京江民公司快速病毒反应小组新近发现了一种新的网络蠕虫Worm.Win32.OpaSoft(屏幕保护),用户的报警数在逐步增加。江民公司已在第一时间升级了KV3000杀毒王病毒库，现已能对此病毒进行有效查杀。和其他的网络蠕虫一样，它通过共享目录来传播，通过可写的共享网络路径来传染自己。之所以称该蠕虫为"屏幕保护"，是因为该网络蠕虫出现的主体文件名称是ScrSvr.(以下会在很多地方提到它)。

　　该网络蠕虫的特点：(1)会自动在受感染的机器上拷贝文件Scrsvr.exe ,同时该蠕虫还试图在Internet网络上升级：删除旧版本的蠕虫、升级下载新版本的蠕虫。

　　(2)该网络蠕虫仍然利用的是微软的漏洞来传播的：在没有补丁的WINDOWS 9X/ME机器上，攻击者可以在没有共享密码的情况下访问在局域网上的WINDOWS 9X/ME机器上的资源(包括硬盘C上的内容)。

　　(3)从系统上存在的以下文件与否，可以判断机器是否被感染:本机感染标志(网络蠕虫在本机上被执行过)：在C盘的根目录下有文件Scrsin.dat和Scrsout.dat文件。本机是被别的机器感染的话，则在C盘的根目录下有文件Tmp.ini。当然这种情况下，本机必须有非密码保护的共享文件夹。注册表键值则表现为：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run下有键ScrSvr或者ScrSvrOld，其数值是c:\tmp.ini.

　　(4)蠕虫的大小是28672字节(ScrSvr.exe文件大小);

　　(5)可以感染的系统包括目前流行的所有WINDOWS操作系统:Windows 95/98/NT/2000/XP/ME等。

　　(6)该网络蠕虫涉及到的系统补丁程序有WINDOWS 95/98/98 SE/Windows ME：download.microsoft.com/download/win95/Update/11958/W95/EN-US/273991USA5.EXEdownload.microsoft.com/download/win98SE/Update/11958/W98/EN-US/273991USA8.EXEhttp://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/273991USAM.EXE凡是以上系统的用户必须安装这些相应的补丁程序，否则网络蠕虫或者黑客程序可以在不知道您机器共享密码的情况下，借助特定的客户端程序就能访问您的硬盘上的资源了。

　　(7)感染过程：当该蠕虫被执行后,该蠕虫检查注册表值ScrSvrOld在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;如果该键值存在的话,该蠕虫会删除ScrSvrOld所指向的文件(相当于删除旧版本的网络蠕虫)。如果检查的结果ScrSvrOld键不存在的话，网络蠕虫会检查ScrSvr数值是否存在于以上所讲的注册表中。如果不存在的话，该蠕虫会自动增加键ScrSvr,其值被设置成%windir%\ScrSvr.exe (%windir%是WINDOWS的安装目录).接着该蠕虫会检查它自身是否以文件%windir%\ScrSvr.exe运行，如果不是的话，就会自动建立一个ScrSvrOld的键(为下次升级做准备)在注册表中，具体的键同上。ScrSvrOld和ScrSvr的建立是网络蠕虫为实现自我升级来设计使用的。为了保证内存中只有一个网络蠕虫在运行，该网络蠕虫还在内存中建立了一个名字为ScrSvr31415的互斥对象，接着该网络蠕虫在WINDOWS 95/98/ME系统下注册自己为一个进程，而在WINDOWS NT/2000/XP系统下，提升网络蠕虫自身的优先级别。网络蠕虫开始寻找网络上的共享机器的C盘根目录，对于它找到的每一个可以侵入的机器，将网络蠕虫拷贝到该机器的WINDOWS目录下，文件名称是ScrSvr.exe文件。并修改系统配置文件win.ini，在该文件的[WINDOWS]项目的run下增加run=%windir%\ScrSvr.exe表项，这样该网络蠕虫在系统每次启动都能自动运行。

　　网络蠕虫在C盘的根目录下建立文件Tmp.ini文件，该文件的内容是run=%windir%\ScrSvr.exe，实际上就是要在win.ini文件中添加的内容。

　　网络蠕虫的清除：

　　(1)断开感染该病毒的机器；

　　(2)安装系统相应的补丁程序；

　　(3)安装最新版本的KV3000杀毒王，先扫描系统中的病毒，等系统内存中的病毒被清除干净后，再扫描文件中的病毒。删除报告有Worm.Win32.OpaSoft病毒的程序。

　　(4)清除网络蠕虫在系统注册表中增加的键

　　值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run删除其中的ScrSvr键，其数值是%windir%ScrSvr.exe.

　　(5)可能KV3000杀毒王不能修改被病毒修改的Windows的配置文件

　　win.ini，需要用户手工来修改。方法可以通过系统配置编辑器sysedit.否则的话，在下次系统启动可能会出现找不到文件ScrSvr.exe的错误提示信息，在这点上和广为流行的I-Worm/Sircam以及I-Worm/China-1 (Nimda)网络蠕虫相似。

　　当前该网络蠕虫还在进一步扩散蔓延，江民公司提醒广大的计算机用户及时升级KV3000杀毒王反病毒软件，注意自己机器上的新增加的文件，同时也不要忽视系统补丁程序的安装，只有这样才能较好的预防目前十分流行的网络蠕虫对电脑的侵害。

　　新浪天堂隆重发布，百万玩家迎接公开测试