TROJ_NEWAPT病毒预警

　　TROJ_NEWAPT病毒预警

　　TROJ_NEWAPT(别名W32.NewApt.Worm，Worm.NewApt)是一种通过电子邮件 传播的记忆体驻留蠕虫病毒(memory resident worm)。这种蠕虫病毒在欧美地区猖狂肆虐，似乎也已 感染了NTBugtrap安全新闻列表(news list)的一些订户。TROJ_NEWAPT病毒一般以电子邮件 附件的形式出现。只有在Microsoft Outlook运行时，这个病毒才会自动发送给地址簿中的用户。一旦病毒 启动，就会出现一段错误提示，并对系统资料库进行修改，这样，每当电脑重新启动时，该病毒就会重装一次。

　　如果你的客户机无法阅读超文本连接标示语言(HTML)，这封电子邮件就会显示以下文字：

　　哈哈，你的瘸腿机器无法阅读超文本连接标示语言。请轻按附件，看一看令你头晕目眩的好东西。

　　如果你能够阅读HTML，这封电子邮件就会显示以下文字：

　　http://stuart.messagemates.com/index.html

　　极酷的2000新年的好玩程式和动画。这封邮件的附件里有本网站的最新动画！打开看看！

　　当病毒启动後，会出现一个包含下列内容的讯息框：

　　动态连接程式库giface.dll无法在特定路径C:\windows: C:\windows\syst em中找到。

　　这条说明文字想让用户误以为，由於DLL档案缺失，该档案并未真正运行。其实这是掩人耳目的一个把戏，病毒会 将自己拷贝在C:\WINDOWS档案夹中，自动完成安装。现将该病毒所用的档案名罗列如下：

　　baby.exe, bboy.exe, boss.exe, casper.exe, chestburs t.exe, cooler1.exe,cooler3.exe, copier.exe,cupid2.exe, farter.exe, fborfw.exe, gadget.exe goal.exe, goal1.exe, g-zilla.exe, hog.exe, irngiant.exe, monica.exe, panther .exe, party.exe, pirate.exe, s.exe,saddam.exe, theobbq. exe, video.exe.

　　另外，病毒会将上面提到的档案名作为值在Windows的系统资料库中添加如下条目：

　　\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

　　这样，病毒就能在下一次Windows启动时自动运行。

　　手动去除病毒的方法是，在系统资料库中删除上述添加条目。

　　然後，重新启动电脑，删除所有受感染的档案。

　　Trend建议所有用户，如果收到上述电子邮件，切勿打开附件。使用Trend Micro提供的样式档案# 624，或者按照上述步骤操作，即可查出和清除该病毒。如果你不是本网路的用户，请访问 http://housec all.antivirus.com ，使用我们提供的Trend线上免费扫描清毒服务。