又是一年新来到！再过几天，历史就要翻开新的一页，跨入2002年了，正值人们翘首以盼步入新年之际，电脑病毒似乎也不甘寂寞，欲乘圣诞及元旦之喜庆气氛来个“喜迎”新年，12月20日首次现身的笑哈哈就是最典型一例。该蠕虫病毒近两日悄然踏入中国，日前被金山公司成功捕获。

　　据金山反病毒应急处理中心的分析得知：此病毒名叫Worm.Shoho.110592，又名Welyah，在某些操作系统中，只要受感染邮件被预览或打开，系统即会中毒。它会像Sircam病毒一样利用自身的SMTP引擎向地址簿中的所有收件人发送邮件。并且该病毒还会删除一些Windows文件，以致在系统重启时导致常规性保护错误。

　　病毒相关资料

　　Shoho蠕虫病毒以邮件的形式进行传播，其主题为："Welcome to Yahoo! Mail."

　　邮件正文如下：

　　This messages a character set that is not supported by the Internet Service.

　　To view the original message content, open the attached message.

　　If the text doesn’t display correctly, save the attachment to disk,

　　and then open it using a viewer that can display the original character set.

　　（大意是：互联网不支持本邮件的字符集，请打开附件查阅邮件内容，如果显示的字符不正确，将附件保存到硬盘上，然后使用相应的软件查阅。）

　　附件为readme.txt，其实此文件并非一文本文件，而是一个进行了伪装的含有恶意代码的EXE可执行文件。该附件一旦被打开，Shoho蠕虫就会在Windows目录下生成Winl0g0n.exe，并修改注册表，以致在每次启动Windows时病毒都会自动运行。

　　该病毒还会将以下文件添加至受感染计算机的C:Windows目录下

　　email.txt

　　emailinfo.txt

　　drwatson

　　drwatsonframe.htm

　　winl0g0n.exe

　　同时试图删除C:Windows 目录中的以下文件:

　　1stboot.bmp

　　asd.exe

　　cleanmgr.exe

　　clspack.exe

　　control.exe

　　cvtaplog.exe

　　defrag.exe

　　dosrep.exe

　　drwatson.exe

　　drwatson

　　drwatsonframe.htm

　　emm386.exe

　　himem.sys

　　hwinfo.exe

　　jautoexp.dat

　　kacheln.bmp

　　kreise.bmp

　　license.txt

　　logos.sys

　　logow.sys

　　moricons.dll

　　nddeapi.dll

　　nddenb.dll

　　netdet.ini

　　ramdrive.sys

　　runhelp.cab

　　script.doc

　　setup.bmp

　　smartdrv.exe

　　streifen.bmp

　　suback.bin

　　support.txt

　　telephon.ini

　　w98setup.bin

　　wellen.bmp

　　win.com

　　win.ini

　　winsock.dll

　　上述文件一旦被删除，极有可能导致在下次重启机器时出现常规性保护错误。

　　如何预防？

　　由于此蠕虫病毒利用的是内嵌MIME类型可自动执行的漏洞，所以金山公司提醒您，应尽快对您的IE浏览器打补丁或进行升级。IE5.01的用户请从微软站点下载补丁MS01-020，或升级至IE 5.5 SP2 or IE 6.0。

　　Microsoft Outlook 2002 及 Outlook 2000的用户若安装了这一补丁，则很安全。假如用户没有升级到Outlook 2002、也没有安装Outlook 98补丁或Outlook 2000补丁，请尽快进行升级或安装相应补丁.