圣诞节给了我们很多美丽的回忆，“漂亮的照片、精彩的图片”固化了印在脑海中的美丽画面，通过照片和图片的传递，它更让美丽得到延伸和分享。可是，近日有一只名为“笑呵呵”的新病毒传到国内，它有两个变种，但多伪装成“精彩图片”瞒天过海，使不少计算机用户深受其害。据金山公司珠海反病毒应急处理中心提供的资料：此病毒名叫w32.Shoho.a@mm，又名Welyah，在某些操作系统中，只要受感染邮件被预览或打开，系统即会中毒。它能利用IE浏览器的一个弱点，向地址簿中的邮箱反复发送自身，造成邮箱堵塞。另外，它还能删除一些Windows目录下的文件，造成启动困难。该病毒12月20日首先出现在亚洲，然后开始向欧洲和美洲传播，现已在台湾等地区引起了较大规模的疫情。金山毒霸26日晚已经病毒库已经升级完成，能够对该病毒进行查杀。

　　与其它Email病毒相比较而言一个最大的区别是它不使用微软公司的客户端软件Outlook而是采有自身的Email引擎。这样容易造成一些反病毒软件无法监控带有病毒的邮件的大量外发。我们已经处在一个危险的“后病毒时代”，计算机病毒越来越倾向于利用系统的漏洞来控制染毒机器进行自动传播，计算机使用者不易察觉。而通过网络防火墙对网络访问的不正常流量的监控，计算机使用者则可以敏锐地感觉到病毒的存在。杀毒软件将从手动杀毒、病毒实时监控(即所谓的病毒防火墙)等技术中走出来，发展到采用嵌入式技术并将反病毒技术与网络防火墙技术相结合的多功能杀毒软件。最新上市的金山毒霸2002融杀毒技术和网络防火墙技术于一体包含了装备强大个人网络防火墙金山网镖2002，通过金山网镖2002对网络数据流量的监测金山毒霸可以非常容易察觉到病毒的入侵。

　　为预防该病毒，IE 5.01的用户需要从微软网站下载MS01-020补丁，或者选择升级到IE 5.5 SP2或IE 6.0，但要选择完全安装。使用Outlook 2002是安全的，但是Outlook 98或Outlook 2000的用户就需要下载补丁程序。国内能给出较好解决方案的反病毒厂商还不多，有关该病毒的详细信息及解决方案的获取请查询金山公司专业反病毒资讯网站：www.iduba.net有关“笑呵呵”病毒的专题报道。

　　“笑呵呵”病毒相关技术资料：

　　病毒简介：

　　病毒名称：Worm.Shoho.110592

　　长度：110592字节

　　病毒类型：邮件蠕虫病毒

　　别名：笑哈哈、W32.Shoho@MM , W32/Welyah.A@mm

　　最早出现地区：亚洲

　　危险级别：5级

　　破坏性：删除文件

　　详细介绍：

　　“笑哈哈”蠕虫利用IE浏览器的一个弱点，向地址簿中的邮箱反复发送自身，造成邮箱堵塞。另外，它还能删除一些Windows目录下的文件，造成启动困难。

　　包含“笑哈哈”蠕虫的电子邮件标题是"Welcome to Yahoo! Mail."信件内容是：

　　This messages a character set that is not supported by the Internet Service. To view the original message content, open the attached message.

　　　If the text doesn’t display correctly, save the attachment to disk,and then open it using a viewer that can display the original character set.

　　(大意是：互联网不支持本邮件的字符集，请打开附件查阅邮件内容，如果显示的字符不正确，将附件存到硬盘上，然后使用相应的软件查阅。)

　　其附件程序乍一看来好似README.TXT文件，其实它的真正扩展名是.pif(一种32位的PE文件格式)。该蠕虫病毒利用的是ms01-020 Iframe漏洞，一旦预览或打开邮件，其附件程序README.TXT________.pif就会自动运行。该蠕虫是用Visual Basic 6编写的，文件大小为110592字节。

　　如果用户打开附件，它会将自身拷贝至Windows及"system"目录下，更名为WINL0G0N.EXE(注意：0是零，并非字母O)，同时可能在本地系统进行添加或删除文件。并修改注册表，添加到：

　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun WINL0G0N.EXE="c:windowsWINL0G0N.EXE"

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun WINL0G0N.EXE="c:windowsWINL0G0N.EXE"

　　使得染毒机器每次启动Windows操作系统时，该病毒都将运行。感染病毒的计算机的Windows目录下还将增添email.txt、emailinfo.txt、drwatson、drwatsonrame.htm等文件。其中添加的email.txt、emailinfo.txt. EMAIL.TXT文件当中包含有准备发往SMTP服务器的邮件，而EMAIL.TXT是一个Mime文件，它包含编码为WINL0G0N.EXE的Base64及iframe漏洞。此蠕虫有它自己的SMTP引擎，能够建立SMTP连接，通过搜索注册表获得本地系统上使用的SMTP服务器地址或者使用该蠕虫体内含的一份SMTP服务器地址：210.177.111.18。它还会查找硬盘中所有包含邮件地址的文件，如：

　　"*.eml","*.wab","*.dbx","*.mbx","*.xls","*.xlt","*.mdb"　，一旦找到便会保存在emailinfo.txt文件当中。然后向保存在该文件中的所有地址发送主题为“Welcome to Yahoo! Mail”的邮件。

　　当系统重新启动时，WINL0G0N.EXE文件自动执行，并可能导致常规性保护错误，而同时由于一些文件被删，系统可能无法正确启动Windows，这种情况在Win9x上会出现，而在NT40系统上还未遇到。但在任何系统上，例行的收发邮件可能会不正常。

　　如何判断您的机器是否中毒呢？

　　查看一下您的windows、system目录下是否有WINL0G0N.EXE (0表示零，大小为110592字节)及以下文件：email.txt、emailinfo.txt、frame.htm。若有，说明中毒了。

　　金山毒霸已经紧急升级，请您尽快升级您所使用的金山毒霸，将该病毒杜绝于门外。

　　以下为病毒可能修改的文件列表：

　　可能添加的文件(Win9x系统)如下：

　　email.txt、emailinfo.txt、DRWATSON、WINDIR%DRWATSONFRAME.HTM、email.txt、%WINSYSDIR%WINL0G0N.EXE、%WINDIR%WINL0G0N.EXE、

　　可能删除的文件(Win9x系统)如下：WIN.COM、WIN.INI、1STBOOT.BMP、WINSOCK.DLL、ASD.EXE、CLEANMGR.EXE、CLSPACK.EXE、CONTROL.EXE、CVTAPLOG.EXE、DEFRAG.EXE、DOSREP.EXE、DRWATSON.EXE、DRWATSON、DRWATSONFRAME.HTM、EMM386.EXE、HIMEM.SYS、HWINFO.EXE、JAUTOEXP.DAT、Kacheln.bmp、Kreise.bmp、LICENSE.TXT、LOGOS.SYS、LOGOW.SYS、MORICONS.DLL、NDDEAPI.DLL、NDDENB.DLL、NETDET.INI、RAMDRIVE.SYS、RUNHELP.CAB、SCRIPT.DOC、Setup.bmp、SMARTDRV.EXE、Streifen.bmp、SUBACK.BIN、SUPPORT.TXT、TELEPHON.INI、W98SETUP.BIN、Wellen.bmp。

   短信圣诞站送大奖：数码相机、CD/VCD…好机会别错过！
      送祝福的话，给思念的人--新浪短信言语传情！